Hackers maken op dit moment actief misbruik van het Windows 'DLL-preloading-lek' om systemen over te nemen, zo waarschuwt beveiligingsbedrijf eEye Digital Security. Gisteren kwam Microsoft met een waarschuwing voor de kwetsbaarheid die honderden Windows applicaties treft. Het probleem wordt veroorzaakt door applicaties die .dll bestanden vanuit de lokale directory laden. Een aanvaller die een kwaadaardige library in de directory van bijvoorbeeld een muziekbestand plaatst, kan ervoor zorgen dat zijn library bij het openen van het muziekbestand wordt geladen. Dit zorgt ervoor dat hij kwaadaardige code op het systeem kan uitvoeren.
Inmiddels zijn er verschillende varianten van deze aanvalsmethode in het wild waargenomen, waarbij aanvallers bekende WebDAV services zoals SharePoint servers aanvallen om vervolgens gebruikers te compromitteren. Andere strategieën zijn het gebruik van archiefbestanden, zoals .zip en .rar bestanden.
Oplossing
Systeembeheerders krijgen het advies om WebDAV / PROPFIND requests tot alleen betrouwbare servers te beperken. "Dit voorkomt dat de meeste aanvallers web-gebaseerde aanvallen en exploit toolkits tegen je omgeving kunnen uitvoeren", aldus het beveiligingsbedrijf. Gerichte en secondaire aanvalsvectoren zijn via e-mail en instant messaging verstuurde archiefbestanden. Systeembeheerders krijgen verder het advies om .dll en .sys bestanden voor het afleveren bij clients te parsen/filteren.
Microsoft heeft een oplossing uitgebracht, maar die zou "sommige slecht geschreven applicaties" kunnen breken. Bedrijven doen er daarom verstandig aan de patch eerst te testen.
Omvangrijk
Het probleem krijgt veel aandacht van de beveiligingsgemeenschap, aangezien het lek niet alleen een specifieke applicatie of omgeving treft. "Het heeft de potentie om aanvallers honderden applicaties binnen de Windows omgeving te laten misbruiken." Zelfs met een oplossing van Microsoft zou het "vanwege slecht prorgrammeerwerk door ontwikkelaars" nog maanden en zelfs jaren kunnen duren voordat het probleem overal is opgelost.
Deze posting is gelocked. Reageren is niet meer mogelijk.