Beveiligingsonderzoeker H.D. Moore heeft zoals beloofd informatie over het omvangrijke Windows DLL-lek vrijgegeven, waaronder een exploit in hackertool Metasploit. "Het lek wordt veroorzaakt als er een kwetsbaar bestandstype in een door de aanvaller gecontroleerde directory wordt geopend", aldus Moore. Het kan dan gaan om een USB-stick, uitgepakt archief of een gedeelde netwerkschijf. In de meeste gevallen moet een gebruiker de betreffende directory en het bestand openen om de exploit te laten werken. Het bestand dat de gebruiker opent kan onschuldig zijn. Het probleem is dat de applicatie die voor het openen van het bestand gebruikt wordt, ook een DLL-bestand in de huidige directory opent.
In de praktijk zou dit lek te misbruiken zijn door een slachtoffer een link naar een gedeelde netwerkschijf te sturen waarvan ze denken dat het veilig is. Vorige week werd het probleem al door Apple in iTunes gepatcht. Moore wijst naar het onderzoek van Taeho Kwon en Zhendong Su van de Universiteit van Californië, dat in januari verscheen. "Ze identificeerden precies dezelfde problemen als waar ik tegen aanliep bij het onderzoeken van het Windows LNK-lek, en hoewel ze gedeelde netwerkschijven niet als aanvalsvector noemden, bespraken ze wel archief bestanden en carpet bombing." De twee onderzoekers ontwikkelden een tool voor het testen van kwetsbare applicaties. Deze tool is nog niet publiek beschikbaar.
Tool
Daarom ontwikkelde Moore een "quick and dirty" audit-kit die de Process Monitor tool en Ruby interpreter gebruikt. De kit start de 'file handler' voor alle geregistreerde bestandstypen en monitort of er wel of niet een DLL bestand in de lokale directory werd aangeroepen. Vervolgens wordt er een script voor verdere tests gegenereerd. Het klikken op deze 'test cases' zal de Windows rekenmachine starten als de applicatie kwetsbaar is.
In sommige gevallen vereisen applicaties een gesigneerde DLL. Deze applicaties valideren alleen dat de handtekening door een vertrouwde partij is uitgegeven. "Een 200 dollar kostende signing key is het enige dat je nodig hebt om deze te misbruiken", aldus Moore. Inmiddels is er aan hackertool Metasploit een exploit toegevoegd voor het genereren van DLL payloads waarmee hackers systemen kunnen overnemen.
Oud
De Luxemburgers onderzoeker Thierry Zoller merkt op dat een variant van deze kwetsbaarheid al tien jaar geleden door Georgi Guninski werd gerapporteerd. "Het is dus geen nieuw probleem en bescherming is aan programmeertalen toegevoegd, alsmede aan Windows zelf." Het grootste verschil tussen het oude en nieuwe probleem, is dat de nieuwste aanval voornamelijk voor applicaties geldt waarvan het gekaapte DLL-bestand niet in de system directory aanwezig is, zo laat Moore in deze analyse weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.