Ραγδαία εμφάνιση κενών ασφαλείας μέσω των Windows DLL

[ipo]

και πως θα βρεθουν αυτα τα dll , εκει κολαω,λες και τα dll ειναι διασπαρτα

Αυτό είναι και δική μου απορία. Ίσως εκμεταλλεύονται τη σειρά προτεραιότητας στην αναζήτηση των dll, σε προγράμματα που το path δεν έχει δηλωθεί, αλλάζοντας το "current working directory" σε remote directory που έχει write permission ο hacker.

The LoadLibrary function and the LoadLibraryEx function are used to dynamically load DLLs. The following is the DLL search order for these two functions:

1. The directory from which the application loaded
2. The system directory
3. The 16-bit system directory
4. The Windows directory
5. The current working directory (CWD)
6. The directories that are listed in the PATH environment variable

* Remove the current working directory from the library search path.
* Prevent an application from loading a library from a WebDAV location.
* Prevent an application from loading a library from both a WebDAV, as well as a remote UNC location.

http://support.microsoft.com/kb/2264107

[Φευ...Γάτος]

Πάντως παίδες, το uTorrent στην έκδοση: 2.0.4 Build 21431 -υποτίθεται ότι διορθώνει το κενό:

- Fix: fixed DLL hijack exploit
- Change: add bold text for Ask toolbar offer
- Fix: added groupbox in bandwidth settings
- Fix: Fixed size of static text in transfer cap setting pane to be translatable
- Fix: Fixed peer exchange exploit
- Fix: Safari 5 compatibility for WebUI
- Fix: WebUI security improvements

Ωστόσο, η τελευταία έκδοση είναι η: 2.0.4 Build 21515

[secjournalist]

Αυτό είναι και δική μου απορία. Ίσως εκμεταλλεύονται τη σειρά προτεραιότητας στην αναζήτηση των dll, σε προγράμματα που το path δεν έχει δηλωθεί, αλλάζοντας το "current working directory" σε remote directory που έχει write permission ο hacker.

Κανεις mount ενα share μεσω webdav απο λινκ που σου στειλαν. Εκει μεσα υπαρχει ενα αρχειο που φορτωνει με καποιο vulnerable προγραμμα πχ .html, .torrent κτλ. Επισης εκει βρισκονται και τα πειραγμενα dll. Ο χρηστης ανογει το αρχειο και το file association καλει το προγραμμα.

[nnn]

δεν βλέπω κανένα κλειδί στην registry με όνομα
CWDIllegalInDllSearch

[sotos65]

Το προσθέτεις με το χέρι...

[nnn]

ναι το είδα, το patch απλά τροποποιεί κάποια files ώστε να αναγνωρίζουν το key,όσοι το κάνετε προσοχή διάβασα πως σπάει κάποιες εφαρμογές μεταξύ άλλων το Steam, αν το ρυθμίσετε globally προτιμήστε την τιμή 2.

[sdikr]

Και πάμε σε αυτό που έθεσε πολύ σωστά ποιο πάνω ενα παλικάρι,

πως βρεθήκανε αυτά τα dll στο σύστημα, και πόσο δωρεάν είναι αυτά τα δωρεάν που βρίσκουμε δεξιά και αριστερά

ο χρήστης που έχει δικαιώματα admin - root κάνει την δουλειά, και αυτό δυστυχώς υπάρχει παντού

[sotos65]

Είδες την λίστα με τα προγράμματα; Ανάμεσα τους βρίσκονται προγράμματα από ακριβές σουίτες λογισμικού, όπως το Office, Photoshop, Corel, κλπ, δεν γίνεται καμία διάκριση σε δωρεάν - μη δωρεάν...

[sdikr]

Είδες την λίστα με τα προγράμματα; Ανάμεσα τους βρίσκονται προγράμματα από ακριβές σουίτες λογισμικού, όπως το Office, Photoshop, Corel, κλπ, δεν γίνεται καμία διάκριση σε δωρεάν - μη δωρεάν...

μιλάω για τα "δωρεάν"

[sotos65]

Κανείς δεν αναφέρθηκε ότι το πρόβλημα έχει να κάνει με "δωρεάν" ή μη προγράμματα. Τα "δωρεάν" ενίοτε να σου δώσουν προβλήματα με ιούς, trojan, αλλά το συγκεκριμένο δεν κάνει τέτοιες διακρίσεις...

[Sebu]

Δεν νομίζω να σου έλεγε η Microsoft πείραξε την Registry

"This update introduces a new registry entryCWDIllegalInDllSearch"

Οπότε την εισάγει η αναβάθμιση

δεν βλέπω κανένα κλειδί στην registry με όνομα
CWDIllegalInDllSearch

Το προσθέτεις με το χέρι...

Επομένως το patch δεν διορθωνει κατι ουσιαστικο μονο του αρα ολη την επεμβαση πρεπει να την κανει ο χρηστης manually πειραζοντας την Registry

Και ερωτω τωρα εγω, με τους "ασχετους" ή "φοβιτσιάρηδες" χρήστες που δεν θέλουν να ανακατεύονται με την Registry γιατί έχουν καεί στο παρελθόν, πως θα "σωθούν" από το πρόβλημα, αν δεν βγάλει αυτόματο patch η MS???

Ήταν τόσο δύσκολο τις εγγραφές που περνιούνται Manual να φτιάξει ένα automated batch να περνιούνται μόνες τους?

[sotos65]

Επειδή παίζουν διάφορες επιλογές στην ρύθμιση, έχω την εντύπωση ότι προτίμησε να το δώσει έτσι ώστε να κάνουν την ρύθμιση κάπως πιο advanced χρήστες που καταλαβαίνουν ένα δύο πράγματα περισσότερο. Αν το έκανε αυτόματα είτε δεν θα κάλυπτε όλες τις περιπτώσεις, είτε θα "έσπαγε" η λειτουργία αρκετών προγραμμάτων (όπως το steam που ανέφερε ο nnn πιο πάνω). Κανονικά την ευθύνη διόρθωσης έχουν οι τελικοί δημιουργοί των "ευαίσθητων" προγραμμάτων...

[Banditgr]

Η MS έδωσε workaround/utility και ουσιαστικά πέταξε το "μπαλάκι" στους admins (ώστε τουλάχιστον σε επίπεδο εφαρμογών που δουλεύουν σε παραγωγή να μπορούν να επέμβουν αν χρειαστεί) επειδή δεν μπορούσε να δώσει κάτι άλλο άμεσα, όχι τουλάχιστον χωρίς να κάνει break διάφορες εφαρμογές. Πιστεύω ότι θα υπάρξει και official fix ή fixes, όποτε είναι έτοιμα. Από εκεί και πέρα φυσικά είναι θέμα και των εφαρμογών, αυτών καθαυτών.

[ares]

Μια στιγμή, να δω αν κατάλαβα καλά και αν κάνω λάθος διορθώστε με, δεν είμαστε όλοι επαγγελματίες της πληροφορικής.

Αν ένα πρόγραμμα δεν ορίζει επακριβώς τον κατάλογο στον οποίο βρίσκεται το dll που χρειάζεται, τότε τα windows αρχίζουν να το ψάχνουν ακολουθώντας μια προκαθορισμένη σειρά καταλόγων. Αφού πρώτα ψάχνουν στους φακέλους που βρίσκονται "εντος" του υπολογιστή, πρέπει κάπως πρωτα να διαταραχθεί η σειρά με την οποία ψάχνουν το συγκεκριμένο dll, ώστε να το ψάξουν πρώτα σε κάποιο απομακρυσμένο φάκελο, οπου θα βρουν ένα μολυσμένο dll με το όνομα που αναζητούν και θα κατεβάσουν και τρέξουν αυτό. Η συγκεκριμένη λυση που δίνει η microsoft είναι να μπορεί ο χρήστης να ορίσει επακριβώς τη σειρά αναζήτησης στους διάφορους φακέλους του συστήματος, αποκλείοντας αν το θέλει τους απομακρυσμένους.

Σωστά; Ή μήπως μέχρι τώρα η σειρά αναζήτησης ήταν λίγο χύμα και έτσι προκλήθηκε το πρόβλημα, οπότε τώρα ορίζουν πιο συγκεκριμένα αυτή τη σειρά,δίνοντας ταυτόχρονα τη δυνατότητα να αποκλείσεις εντελώς globally ή για συγκεκριμένα προγράμματα τη δυνατότητα φόρτωσης dll από απομακρυσμένους φακέλους;

Το κατάλαβα σωστά;

[ipo]

The update allows the administrator to define the following on a system-wide or a per-application basis:

* Remove the current working directory from the library search path.
* Prevent an application from loading a library from a WebDAV location.
* Prevent an application from loading a library from both a WebDAV, as well as a remote UNC location.

http://support.microsoft.com/kb/2264107