image

Microsoft 'Fixt' Windows DLL-lek

woensdag 1 september 2010, 10:40 door Redactie, 7 reacties

Microsoft heeft voor het omvangrijke DLL-lek dat in talloze Windows applicaties aanwezig is een fix uitgebracht, waarmee gebruikers eenvoudig het probleem kunnen verhelpen. Volgens Jerry Bryant van het Microsoft Security Response Center zal Microsoft het probleem in de eigen software via beveiligingsupdates en 'defense-in-depth updates' verhelpen. Daarnaast heeft instructies voor andere leveranciers online gezet, waardoor die het probleem in hun applicaties kunnen verhelpen.

"Ondanks dit advies, beseffen we dat het vrij lang kan duren voordat alle getroffen applicaties gepatcht zijn en in sommige gevallen is een update misschien niet mogelijk", zegt Bryant. De softwaregigant had eerder al een tool uitgebracht om het zoekalgoritme naar DLL-paden aan te passen, maar gebruikers moesten dit na installatie nog steeds zelf configureren. Daarom is er nu naast deze uitgebreide beschrijving ook een Fix-it tool online verschenen, die de meeste netwerk-gebaseerde aanvalsvectoren blokkeert. Bryant maakt duidelijk dat gebruikers EERST de tool moeten installeren voordat ze de Fix-it oplossing kunnen gebruiken.

Belangrijk
Daarnaast biedt de Fix-it tool alleen bescherming tegen DLL-preloading en niet tegen .exe bestanden die bestanden op de verkeerde manier zonder volledig opgegeven pad laden. Dat probleem is aan de ontwikkelaars van de betreffende applicaties, aldus Bryant. Volgens Security.nl lezer BitWiper worden door de fix DLL hijacking aanvallen op WebDAV en netwerk-drives voorkomen, maar niet op lokale drives, waaronder USB-sticks.

Aangezien Windows gebruikers bij de meeste aanvallen eerst verschillende waarschuwingen en vensters moeten sluiten voordat ze het kwaadaardige bestand kunnen openen, beschouwt Microsoft het probleem grotendeels als "important" en niet als "critical".

Reacties (7)
01-09-2010, 11:19 door [Account Verwijderd]
[Verwijderd]
01-09-2010, 11:46 door Bitwiper
Volgens Panda (bron: http://www.net-security.org/malware_news.php?id=1444) is een kwart van de, tot nu toe in 2010, in omloop zijnde wormen, zo gebouwd dat ze (ook) via USB memory devices verspreiden.

Hoewel een volledig gepatched XP SP3 systeem nog steeds autorun vanaf FAT/NTFS partities op USB sticks toestaat, kun je je daar betrekkelijk eenvoudig tegen beschermen. Helaas geldt dat niet voor deze "DLL-issue".

Door niet de Fix-It te gebruiken maar handmatig de waarde 0xFFFFFFFF aan de registervariabele CWDIllegalInDllSearch toe te kennen, ben je wel beschermd tegen het onbedoeld laden van kwaardaardige DLL's op USB memory devices, maar dat heeft tot gevolg dat allerlei applicaties niet goed meer werken. Dit is o.a. bekend van Outlook, maar bijv. bij Kaspersky "anti-virus for workstations" werkt de ingebouwde helpfunctie niet meer met deze (voor de DLL issue meest veilige) instelling.

N.b. bij USB memory devices moet je naast memory sticks ook denken aan denk ook aan smartphones, MP3-spelers, foto-displays, geheugenkaartjes voor fototoestellen etc. (welke op het moment van aanschaf al besmet kunnen zijn). Niet ondenkbaar is dat malware die een smartphone heeft gecompromitteerd zichzelf op Windows PC's via deze route verder probeert te verspreiden.
01-09-2010, 12:00 door [Account Verwijderd]
[Verwijderd]
01-09-2010, 12:38 door Bitwiper
Door Peter V: Dat is weer goede info Bitwiper. Dat Kaspersky Workstations niet meer werkt is nieuw voor mij.
Kaspersky Internet Security 2011 (laatste versie) werkt overigens wel.
Alle beveiligingsfunctionaliteit lijkt goed te werken, echter (zoals ik schreef) de online help niet.

Als je bijv. het settings window opent en op help klikt, verschijnt een dialoogbox met in de caption "RUNDLL" en daaronder de melding:
Error loading basegui.ppl
The specified module cannot be found.
01-09-2010, 17:20 door [Account Verwijderd]
[Verwijderd]
01-09-2010, 18:19 door Bitwiper
Door Peter V: Vandaag na het installeren van de FIX bleek dat Officie 2003 (Outlook) de mail niet meer ophaalde.
Heb je gekeken of m'n advies in https://secure.security.nl/artikel/34260/1/Problemen_na_DLL-lek-patch_KB2264107_en_CWDIllegalInDllSearch%3DFFFFFFFF.html de problemen oplost (dwz uitbreiden van "App Paths" voor Outlook.exe)?

Dat is natuurlijk een stuk safer dan voor de betreffende app een CWDIllegalInDllSearch-uitzondering maken zoals Microsoft suggereert.

De Help-functie van Kaspersky Internet Security 2011 werkt naar behoren.
Okay thanks voor de terugmelding!

Aanvulling#1, vooral als je aan het testen bent wat er de oorzaak van is dat iets niet meer werkt: i.p.v. steeds een herstelpunt terugdraaien kun je veel sneller regedit opstarten (met adminrechten), naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager gaan, en de waarde van CWDIllegalInDllSearch wijzigen in ofwel 0 (zelfde als herstelpunt terugdraaien), 1 (alleen WebDAV protectie), 2 (zowel WebDAV als netwerkdrive-protectie, dit is wat de Fix-It -naar verluidt- doet), of 0xFFFFFFFF: dan ben je optimaal beschermd maar kun je de meeste problemen verwachten.

Aanvulling#2: ik vind het wel heel opmerkelijk dat je last hebt met Outlook t.g.v. de waarde 2. Heb je soms (delen van) Outlook/Office op een netwerkdrive geinstalleerd?
01-09-2010, 19:07 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.