image

Lijst van kwetsbare Windows apps (dll-lek)

donderdag 26 augustus 2010, 10:12 door Redactie, 7 reacties

Het aantal Windows applicaties waardoor aanvallers kwaadaardige code op systemen kunnen uitvoeren groeit met de dag. De dll-preloading kwetsbaarheid misbruikt de manier waarop programma's dll-bestanden laden. Aanvallers kunnen zo een kwaadaardig dll-bestand tijdens het openen van een legitiem bestand uitvoeren. Het probleem is niet alleen aanwezig in Microsoft software, maar ook in honderden andere applicaties voor het Windows platform.

Op Exploit-DB zijn inmiddels 55 exploits verschenen voor populaire programma's, zoals Daemon tools, Google Earth, Winamp, Media Player Classic, Thunderbird, Skype, VLC, Avast! en Putty. Het probleem zou ook spelen bij het laden van Nvidia drivers. De Belgische website Corelan houdt een lijst van kwetsbare applicaties bij, maar is op dit moment onbereikbaar.

Microsoft heeft inmiddels dit document online geplaatst, dat het veilig laden van libraries beschrijft en zo preloading-aanvallen moet voorkomen. Het Amerikaanse US-CERT adviseert systeembeheerders het laden van libraries vanuit WebDAV en gedeelde netwerkschijven uit te schakelen. Ook wordt het uitschakelen van de WebClient service voorgesteld en het blokkeren van uitgaand SMB-verkeer.

Reacties (7)
26-08-2010, 10:52 door U4iA
De Belgische website Corelan houdt een lijst van kwetsbare applicaties bij, maar is op dit moment onbereikbaar.
Google Cache van 26 Aug 2010 02:30:28 GMT: http://webcache.googleusercontent.com/search?q=cache:http://www.corelan.be:8800/index.php/2010/08/25/dll-hijacking-kb-2269637-the-unofficial-list/%23more-4621+dll-hijacking-kb-2269637-the-unofficial-list
26-08-2010, 11:08 door Anoniem
Microsoft heeft een tool uitgebracht waarmee een registry variabele kan worden bewerkt. Hiermee kun je voorkomen dat DLL's vanuit de working directory en/of via webdav worden geladen. Zie http://blogs.technet.com/b/srd/archive/2010/08/23/more-information-about-dll-preloading-remote-attack-vector.aspx. Maar bij SANS is al een lijst bekend van applicaties die vervolgens niet meer werken. Zie hiervoor http://isc.sans.edu/diary.html?storyid=9445.

Peter
26-08-2010, 11:10 door Anoniem
De site corelan is nu terug beschikbaar
26-08-2010, 11:45 door Anoniem
website is terug online
26-08-2010, 12:15 door [Account Verwijderd]
[Verwijderd]
26-08-2010, 22:26 door Anoniem
helemaal niet verwijderd
de lijst bevat ondertussen meer dan 80 applicaties
27-08-2010, 17:35 door Rene V
lol@anoniem van 26-8@22:26

Peter bedoelde dat hij zijn eigen reactie heeft verwijderd. ;-)

utorrent en VLC player hebben de kwetsbaarheid inmiddels gepatched in hun nieuwste versies.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.