image

Hackers misbruiken Windows DLL-lek via e-mail

donderdag 29 september 2011, 07:18 door Redactie, 3 reacties

Hackers misbruiken een beveiligingslek in Windows, dat twee weken geleden door Microsoft werd gedicht. Het gaat om een DLL-kwetsbaarheid die in alle ondersteunde versies van Windows aanwezig is. De aanval bestaat uit een ZIP of RAR-bestand met daarin een legitiem RTF, TXT of Word bestand. Het archief bevat ook een kwaadaardig DLL-bestand, dat Windows standaard niet toont. Door het openen van het legitieme bestand, wordt automatisch ook het kwaadaardige DLL-bestand geopend, waardoor een aanvaller willekeurige code met de rechten van de ingelogde aanvaller kan uitvoeren.

In dit geval wordt de Taidoor Trojan geïnstalleerd, die ook bij andere gerichte aanvallen is ingezet. "Voor het uitvoeren van de exploit gelden strenge voorwaarden. Het is me nog niet gelukt om ze werkend te krijgen", zegt beveiligingsonderzoekster Mila Parkour, die in totaal vier verschillende spear phishing-aanvallen met de DLL-exploit ontving. Parkour merkt uiteindelijk op dat ze de exploit één keer waarschijnlijk toch aan de praat kreeg, maar dit niet kon reproduceren. Het Trojaanse paard werd door een derde van de 44 virusscanners op VirusTotal herkend.

E-mail
De DLL-preloading kwetsbaarheid werd vorig jaar augustus ontdekt en bevindt zich in honderden programma's. Het probleem wordt veroorzaakt door de manier waarop Windows-applicaties DLL-bestanden laden. Een groot aantal applicaties zoekt ook in de geopende directory naar DLL-bestanden, die voor het uitvoeren van het te openen bestand nodig zijn.

Een aanvaller zou zodoende kwaadaardige DLL-bestanden door het programma kunnen laten uitvoeren. Hiervoor moet het slachtoffer bijvoorbeeld een kwaadaardig bestand in een gedeelde WebDAV of SMB map openen. Zoals het er nu naar uitziet, werkt de aanval ook via e-mail.

Reacties (3)
29-09-2011, 13:01 door [Account Verwijderd]
[Verwijderd]
29-09-2011, 21:49 door [Account Verwijderd]
[Verwijderd]
01-10-2011, 00:48 door Anoniem
Nieuwe Virustotal 29/43:
http://www.virustotal.com/file-scan/report.html?id=ae6f4f1f4483149c39f3741e2b4b2c9964ae80f1322dcba0c6d7781a57f03bef-1317405666
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.