VS waarschuwt vitale sector voor aanval via dll-bestanden
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft de vitale sector in het land gewaarschuwd voor aanvallen via dll-bestanden, ook bekend als "dll hijacking" of "dll preloading". Het gaat hier om een kwetsbaarheid die al sinds 2010 bekend is.
Het probleem wordt veroorzaakt door de manier waarop Windows-applicaties dll-bestanden laden. Een groot aantal programma's zoekt ook in de geopende directory naar dll-bestanden die voor het uitvoeren van het programma nodig zijn. Een aanvaller die erin slaagt om een kwaadaardig dll-bestand in de directory van het programma te krijgen kan zodoende de gebruiker malware laten uitvoeren.
Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens een ander programma direct vanuit de downloadmap uitvoert, wordt ook het kwaadaardige dll-bestand geladen. Onlangs lieten de ontwikkelaars van de populaire ssh-client PuTTY nog weten dat dit waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen.
Het ICS-CERT merkt op dat het nog altijd veel meldingen over dit beveiligingslek ontvangt. "Dll-bestanden zijn een integraal onderdeel van de Windows-architectuur maar kunnen wanneer niet goed geïmplementeerd een aanvalsvector bieden", aldus de overheidsinstantie. Het ICS-CERT wijst naar richtlijnen van Microsoft voor het veilig laden van dll-bestanden en adviseert ontwikkelaars om die te volgen (pdf).
Ik vergelijk dit met iets uit de geschiedenis: Het Classic Mac OS waar je bepaalde bestanden in bepaalde mappen moest hebben om functioneel te kunnen zijn. (regelpanelen, bureau-accessoires etc.)
Persoonlijk gebruik ik de downloadmap niet. Ik heb mijn browser zo ingesteld dat er altijd gevraagd wordt waar de downloads moeten worden opgeslagen. Met andere woorden:
is het zinnig de downloadmap niet te gebruiken als eerste opslag voor downloads gesteld dat .dll bestanden alleen uitgevoerd kunnen worden vanuit de downloadmap in samenhang met een eveneens van daaruit gestarte applicatie?
Ps. voor de degenen die rechtlijnig denken over mijn reactie (je moet hier alles voorkauwen) ik spreek dus actueel over Windows, niet Mac.
Dus hier niet op doorgaan; is zinloos. en kwetst de leesbaarheid van dit Topic Ik haal het slechts aan als voorbeeld.
b.v.d.
Ik vergelijk dit met iets uit de geschiedenis: Het Classic Mac OS ....
....
voor de degenen die rechtlijnig denken over mijn reactie (je moet hier alles voorkauwen) ik spreek dus actueel over Windows, niet Mac.
Dus hier niet op doorgaan; is zinloos. en kwetst de leesbaarheid van dit Topic Ik haal het slechts aan als voorbeeld.
b.v.d.
Classic Mac OS is geen Windows en al helemaal niet actueel
† 1984-2001
https://en.wikipedia.org/wiki/Classic_Mac_OS
Bij kleine bestanden staat het bestand feitelijk al opje computer / in de download map op het moment dat je bezig bent nog officieel toestemming te geven.
Het bestand heet dan alleen nog anders, check het maar.
Dat doen er meer. Hoe groter het budget hoe hoger de kans dan je wint.
Maar echt gelijk krijgen ga je niet.
Ik vergelijk dit met iets uit de geschiedenis: Het Classic Mac OS ....
....
voor de degenen die rechtlijnig denken over mijn reactie (je moet hier alles voorkauwen) ik spreek dus actueel over Windows, niet Mac.
Dus hier niet op doorgaan; is zinloos. en kwetst de leesbaarheid van dit Topic Ik haal het slechts aan als voorbeeld.
b.v.d.
Classic Mac OS is geen Windows en al helemaal niet actueel
† 1984-2001
https://en.wikipedia.org/wiki/Classic_Mac_OS
Bij kleine bestanden staat het bestand feitelijk al opje computer / in de download map op het moment dat je bezig bent nog officieel toestemming te geven.
Het bestand heet dan alleen nog anders, check het maar.
Dat doen er meer. Hoe groter het budget hoe hoger de kans dan je wint.
Maar echt gelijk krijgen ga je niet.
geeuw.
Wat imho belangrijker is om te onthouden: dit werkt ook via netwerkshares. In een bedrijfsomgeving kan dit dus vrij makkelijk gebruikt worden om je rechten te verhogen. E.g. standaard user naar admin of SYSTEM door simpelweg een DLL om een bepaalde locatie neer te zetten. De bug komt nog met grote regelmaat voor, ook in AV software welke als SYSTEM draait :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
