Nieuws
image

Windows DLL-lek actief misbruikt door hackers

woensdag 25 augustus 2010, 12:58 door Redactie, 4 reacties

Hackers maken op dit moment actief misbruik van het Windows 'DLL-preloading-lek' om systemen over te nemen, zo waarschuwt beveiligingsbedrijf eEye Digital Security. Gisteren kwam Microsoft met een waarschuwing voor de kwetsbaarheid die honderden Windows applicaties treft. Het probleem wordt veroorzaakt door applicaties die .dll bestanden vanuit de lokale directory laden. Een aanvaller die een kwaadaardige library in de directory van bijvoorbeeld een muziekbestand plaatst, kan ervoor zorgen dat zijn library bij het openen van het muziekbestand wordt geladen. Dit zorgt ervoor dat hij kwaadaardige code op het systeem kan uitvoeren.

Inmiddels zijn er verschillende varianten van deze aanvalsmethode in het wild waargenomen, waarbij aanvallers bekende WebDAV services zoals SharePoint servers aanvallen om vervolgens gebruikers te compromitteren. Andere strategieën zijn het gebruik van archiefbestanden, zoals .zip en .rar bestanden.

Oplossing
Systeembeheerders krijgen het advies om WebDAV / PROPFIND requests tot alleen betrouwbare servers te beperken. "Dit voorkomt dat de meeste aanvallers web-gebaseerde aanvallen en exploit toolkits tegen je omgeving kunnen uitvoeren", aldus het beveiligingsbedrijf. Gerichte en secondaire aanvalsvectoren zijn via e-mail en instant messaging verstuurde archiefbestanden. Systeembeheerders krijgen verder het advies om .dll en .sys bestanden voor het afleveren bij clients te parsen/filteren.

Microsoft heeft een oplossing uitgebracht, maar die zou "sommige slecht geschreven applicaties" kunnen breken. Bedrijven doen er daarom verstandig aan de patch eerst te testen.

Omvangrijk
Het probleem krijgt veel aandacht van de beveiligingsgemeenschap, aangezien het lek niet alleen een specifieke applicatie of omgeving treft. "Het heeft de potentie om aanvallers honderden applicaties binnen de Windows omgeving te laten misbruiken." Zelfs met een oplossing van Microsoft zou het "vanwege slecht prorgrammeerwerk door ontwikkelaars" nog maanden en zelfs jaren kunnen duren voordat het probleem overal is opgelost.

Reacties (4)
25-08-2010, 13:08 door [Account Verwijderd]
[Verwijderd]
25-08-2010, 13:45 door Anoniem
laat dit eigenlijk niemand verbazen door de simpliciteit en het effect van deze vulnerability. Ze zullen in Redmond snel met een deftige patch moeten komen aandraven.
25-08-2010, 13:59 door Anoniem
Zodra virusscanners de 'malicious' DLL's scannen kan deze herkend worden. Ook payload code kan zo herkend worden. Het is de vraag of virusscanners het openen van een SMB direct zien als "nieuwe" files.
25-08-2010, 14:31 door Anoniem
Door Anoniem: Zodra virusscanners de 'malicious' DLL's scannen kan deze herkend worden. Ook payload code kan zo herkend worden. Het is de vraag of virusscanners het openen van een SMB direct zien als "nieuwe" files.

een AV is dom met zijn beperkte set aan signatures, 1 help file veranderen in een dll en het is reeds omzeilt, geen goede oplossing. De oplossing moet komen van Microsoft zelf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search