image

Installer populaire software kwetsbaar voor dll-aanval

maandag 8 februari 2016, 13:59 door Redactie, 6 reacties

De installatiesoftware van verschillende populaire programma's, zoals Google Chrome, TrueCrypt, WinRAR, 7-Zip, VLC Media Player en verschillende anti-virusprogramma's, is kwetsbaar voor een dll-aanval, waardoor een aanvaller in het ergste geval de computer volledig kan overnemen.

Het probleem is door beveiligingsonderzoeker Stefan Kanthak ontdekt en de afgelopen weken gepubliceerd. De installatiesoftware blijkt verschillende dll-bestanden uit de 'applicatie directory' te laden. Voor software die van het internet is gedownload is dit vaak de 'download directory'. Een aanvaller die kwaadaardige dll-bestanden in de download directory weet te krijgen, bijvoorbeeld via social engineering of een drive-by download, kan vervolgens willekeurige code op de computer uitvoeren als de gebruiker het betreffende installatieprogramma vanuit de download directory start. Het installatieprogramma zal namelijk in dit geval de kwaadaardige dll-bestanden laden. Verschillende partijen hebben inmiddels updates uitgebracht, waaronder Oracle, dat vorige week met een noodpatch kwam.

Reacties (6)
08-02-2016, 15:00 door Anoniem
Dit is een lek wat al jaren in Windows zit. Je kunt het een beetje oplappen door ergens een registry entry (of policy)
te maken waardoor het zoekpad in ieder geval niet de current directory omvat. Maar echt veilig is het niet.

Het beste blijft het om een Software Restriction cq Applocker profiel te maken wat executables in het userprofiel
verbiedt.
08-02-2016, 19:18 door karma4
Zelfde probleem is bij Unix Linux bekend als de race conditie.
Algemeen beleid updates alleen gecontroleerd getest etc....
08-02-2016, 21:49 door Anoniem
Door Anoniem: Dit is een lek wat al jaren in Windows zit. Je kunt het een beetje oplappen door ergens een registry entry (of policy)
te maken waardoor het zoekpad in ieder geval niet de current directory omvat. Maar echt veilig is het niet.

Het beste blijft het om een Software Restriction cq Applocker profiel te maken wat executables in het userprofiel
verbiedt.

Door karma4: Zelfde probleem is bij Unix Linux bekend als de race conditie.
Algemeen beleid updates alleen gecontroleerd getest etc....

Het nieuws gaat over Windows en niet over Unix/Linux.
Verder is er een groot verschil tussen een bestaand/openstaand probleem en een mogelijk probleem.
Kortom, het gaat niet om hetzelfde, dit is namelijk een (al jaren) bestaand probleem.
Dat is wat anders dan een mogelijk probleem.
Maar nog steeds gaat het bericht over Windows en niet over andere systemen die jij als Windows fan ook niet gebruikt.
09-02-2016, 07:32 door karma4
Door Anoniem:
Maar nog steeds gaat het bericht over Windows en niet over andere systemen die jij als Windows fan ook niet gebruikt.
Waarmee je duidelijk aangeeft niet verder te komen dan os flaming.

Als je je serieus met security bezig houdt dan gaat dat om de zaken die algemeen zijn. De open standaarden daarover zijn helder. Je laat een eindgebruiker niet willekeurig software op een systeem zetten. Zoiets doe je gecontroleerd verifieerbaar herhaalbaar. .
.. Security by design... geen hobbyisme.
09-02-2016, 16:24 door Anoniem
Door karma4:
Door Anoniem:
Maar nog steeds gaat het bericht over Windows en niet over andere systemen die jij als Windows fan ook niet gebruikt.
Waarmee je duidelijk aangeeft niet verder te komen dan os flaming.

Nee, net andersom, bij elk negatief bericht of kritiek op Windows probeer je direct de discussie om te leiden naar andere soorten OS-en.
De zogenaamd neutrale manieren waarmee dat gedaan wordt verhullen voor de vaste lezer niet je doel dat andere lezers, ook Windows gebruikers, en niet alleen op deze site, ook allang is opgevallen en steeds meer als storend wordt ervaren.

Een treffend voorbeeldje ongeloofwaardig gesimuleerde correctheid in de reacties onder dit artikel te vinden
https://www.security.nl/posting/460057/Toolkit+voor+cybercriminelen+vermijdt+Linux-computers
10-02-2016, 01:58 door Anoniem
Waar gáát dit over? Paniek!

Als iemand het voor elkaar krijgt, om via social engeneering / de post / een inbraak een corrumperende .dll in een systeemdirectory te plaatsten, waarna de beheerder ook nog eens software moet installeren, is het systeem in feite al lang en breed, reddeloos verloren.

Natuurlijk weer een zeer grove, onbegrijpelijke implementatiefout, maar het risico op misbruik is wel erg klein én volledig afhankelijk van een totaal van de pot gerukte gebruiker, niveautje Nigerian Scam.

Of mis ik iets?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.