De berichtgeving over het Windows DLL-lek neemt langzaam vormen van paniekzaaierij en FUD aan, terwijl de ernst van het probleem dit helemaal niet rechtvaardigt. "DLL hijacking is gewoon niet hetzelfde als het doorsnee zero-day lek", aldus Oliver Lavery van beveiligingsbedrijf nCircle. "Angst en paniek zijn op korte termijn goed voor beveiligingsbedrijven en media, maar zijn geen reacties waar gebruikers iets aan hebben. Risk management is niet gebaseerd op emotie, het is gebaseerd op wel overdachte assessments van het risico." Volgens Lavery kan paniek op de lange termijn de aandacht van de dagelijkse activiteiten verwijderen, terwijl die juist een groter risico voor de onderneming vormen.
De oorzaak van het DLL-probleem ligt in het verleden, bij een industrie die nog niets met internetveiligheid te maken had, aldus de beveiliger. "Jaren geleden maakte Microsoft een ontwerpfout waardoor de huidige directory aan de lijst van directories werd toegevoegd waar Windows naar een DLL-bestand zocht." Daardoor was het mogelijk om applicaties een verkeerde versie van een DLL te laten laden. Microsoft verhielp dit probleem met Service Pack 2 voor Windows XP. Voor dat moment waren bijna alle Windows apps kwetsbaar voor DLL-hijacking, toch leidde dit niet tot grootschalige problemen.
Paniek
Het feit dat tien jaar na de ontdekking van het probleem het nog steeds in bepaalde gevallen mogelijk is te misbruiken, is dan ook geen reden tot paniek, merkt Lavery op. "Is het belangrijk? Ja. Is het reden tot zorgen? Waarschijnlijk. Moeten we in paniek raken over deze nieuwe stroom van 'zero-days'? Helemaal niet." Er zijn namelijk talloze manieren om het probleem op te lossen. "Daarom is het niet vaker misbruikt, ook al is het al langer bekend."
Lavery voorspelt dat er kwaadaardige e-mails zullen verschijnen die het DLL-lek proberen te misbruiken, maar dat ze niet erg effectief zullen zijn. "Dan gaan we weer terug naar de dagelijkse gang van zaken, totdat de volgende grote zero-day in een populair bestandsformaat verschijnt." Bedrijven waar het openen van bestanden vanuit gedeelde netwerkschijven voorkomt, doen er volgens de beveiliger wel verstandig aan om de Microsoft fix toe te passen. Aangezien dit een echt gevaar voor "inside attackers" vormt. "Er is in een security-bewuste omgeving geen goede reden om een DLL vanaf een WebDAV of gedeelde map te laden."
Autorun
Inmiddels is er ook een exploit voor Autorun in combinatie met USB-sticks verschenen. Toch heeft ook deze aanval hetzelfde probleem als de meeste andere DLL-exploits. "Er is geen security boundary die bepaalt dat wat op .ppt lijkt, er ook een is. De aanvaller controleert zowel het icoon als de bestandsnaam. Dat is het geval met een gedeelde netwerkschijf en met een USB-stick, zo is het gewoon", zegt beveiligingsonderzoeker Dan Kaminsky.
Kaminsky merkt op dat het uitvoeren van willekeurige code in het algemeen de gouden standaard voor een beveiligingslek is. "Aan de andere kant voeren besturingssystemen standaard willekeurige code uit. De vraag is of ze code in deze specifieke context moeten uitvoeren." Het antwoord is volgens de onderzoeker niet voor de hand liggend. "Het is dus niet dat dit een klein of groot lek is. Het is een karakteristiek, die van een anders ondubbelzinnige proof of concept, het lanceren van de Windows rekenmachine, een dubbelzinnig probleem heeft gemaakt. Dat is indrukwekkend." Kaminsky verwacht dan ook dat aanvallers pop-ups zullen gebruiken, hoewel dat op dit moment nog niet het geval is.
Deze posting is gelocked. Reageren is niet meer mogelijk.