Ραγδαία εμφάνιση κενών ασφαλείας μέσω των Windows DLL

[ipo]

Μερικά από τα πιο δημοφιλή προγράμματα των Windows είναι επιρρεπή σε επιθέσεις hacker, που εκμεταλλεύονται ένα μεγάλο σφάλμα στον τρόπο με τον οποίο φορτώνονται οι βιβλιοθήκες των προγραμμάτων. Ανάμεσα στις εφαρμογές των Windows που είναι επιρρεπείς στις επιθέσεις που αποκαλούνται “DLL load hijacking”, είναι οι browser Firefox, Chrome, Safari, Opera, το Microsoft Word 2007, το Photoshop της Adobe, το Skype και το uTorrent.

Ο διευθυντής ασφαλείας της νCircle Security, Andrew Storms, αποκάλεσε το ρυθμό αποκάλυψης νέων κενών ασφαλείας του συγκεκριμένου τύπου “binary planting” σε προγράμματα των Windows ως “Fast and furious, incredibly fast”.

Στην αρχή της εβδομάδας η Microsoft επιβεβαίωσε τις αναφορές για τα ενεργά κενά ασφαλείας σε πολλά προγράμματα των Windows και δημοσίευσε ένα εργαλείο που υποτίθεται ότι εμποδίζει τις επιθέσεις. Αυτές εκμεταλλεύονται τον τρόπο που πολλές εφαρμογές των Windows καλούν τις βιβλιοθήκες DLL (dynamic-link library), ο οποίος δίνει στους hacker περιθώριο να ξεγελάσουν το πρόγραμμα και να φορτώσουν κώδικα μέσα από αρχείο με το ίδιο όνομα με το αυθεντικό dll. Αν οι επιτιθέμενοι πείσουν τους χρήστες να επισκεφθούν μία κακόβουλη ιστοσελίδα ή απομακρυσμένους χώρους αποθήκευσης ή να τοποθετήσουν ένα USB flash disk στον υπολογιστή τους, μπορούν να αποκτήσουν έλεγχο του υπολογιστή και να εγκαταστήσουν σε αυτόν κακόβουλο λογισμικό.

Προτού η Microsoft περιγράψει το πρόβλημα, δημοσιεύσει το προστατευτικό λογισμικό και αναφέρει ότι δεν μπορεί να λύσει το ζήτημα χωρίς να αχρηστεύσει αναρίθμητα προγράμματα, ο ερευνητής HD Moore δημοσίευσε εργαλεία για τον εντοπισμό των ευάλωτων εφαρμογών και τη δημιουργία κώδικα που να το αποδεικνύει. Η πλειοψηφία των κενών ασφαλείας που δημοσιεύτηκαν τις τελευταίες ημέρες ανακαλύφθηκαν με τη χρήση του εργαλείου του Moore, καθώς και με το πρόγραμμα ανοικτού κώδικα Metasploit που ελέγχει την ασφάλεια του λογισμικού.

Διάφοροι δικτυακοί τόποι καταγράφουν τις εφαρμογές που οι χρήστες εντοπίζουν ως ευάλωτες, συμπεριλαμβανομένης μίας ανεπίσημης λίστας που ενημερώνει ο Βέλγος IT manager Peter Van Eeckhoutte και άλλης μίας που ενημερώνει η εταιρεία Offensive Security. Ανάμεσα στα 40 κενά ασφαλείας που αναφέρει η τελευταία, βρίσκονται μερικά της Adobe και συγκεκριμένα του InDesign, του Illustrator και του Photoshop, μερικά της Microsoft, o Foxit Reader, το uTorrent και το Wireshark.

Ο διευθυντής ασφαλείας της Symantec, Marc Fossi δήλωσε:

“Δε θυμάμαι να έχω δει λίστα σαν αυτή να αυξάνεται τόσο γρήγορα. Ταυτόχρονα όμως δεν εκπλήσσομαι.”

Ο Moore τη συγκρίνει με παλαιότερη ανακάλυψη κενών ασφαλείας στο ActiveX:

“Το πιο πρόσφατο παράδειγμα που μπορώ να σκεφτώ είναι το AxMan tool που δημοσίευσα το 2006. Είχε αποτέλεσμα την ανακάλυψη εκατοντάδων νέων κενών ασφαλείας στο ActiveX και χρησιμοποίησε αντίστοιχο μοντέλο που έφερε σε εγρήγορση την κοινότητα για τον εντοπισμό των ευάλωτων εφαρμογών.”

Ο Jerry Bryant, manager στο Microsoft Security Response Center, δήλωσε:

“Η Microsoft αναλύει τις δικές της εφαρμογές για να προσδιορίσει όσες επηρεάζονται από τις επιθέσεις μέσω DLL. Θα πάρουμε τα απαραίτητα μέτρα για να προστατέψουμε τους πελάτες μας, τα οποία ενδέχεται να περιλαμβάνουν υποδείξεις ασφαλείας, καθώς και ενημερώσεις ασφαλείας του λογισμικού για την αντιμετώπιση του ζητήματος.”

Μέχρι να ετοιμαστούν οι ενημερώσεις ασφαλείας, η Microsoft προτρέπει στους χρήστες Windows να κατεβάσουν το δωρεάν εργαλείο που εμποδίζει το φόρτωμα των DLL από απομακρυσμένους καταλόγους, USB drives, internet και intranet.




Πηγή:Computerworld

[ipo]

Ευχαριστούμε το χρήστη karavagos για την επισήμανση της είδησης.

[Kolofotias]

Πρόκειται για "την" τρύπα μιλάμε.....χωρίς dll δεν λειτουργεί ούτε ο Kernel....
Μπαλώνεται αυτό τώρα χωρίς απώλεια μεγάλης λειτουργηκότητας;πως θα φορτώνουμε προγράμματα και υπηρεσίες από home server ας πούμε ή από NAS;

ας απαντήσει κάποιος πιο βαθύς γνώστης των Win.

[Banditgr]

Διορθώνεται. Απλούστατα το πρόβλημα βρίσκεται (όπως λέει η σελίδα του workaround) στον βλακώδη/insecure τρόπο που λειτουργούν οι LoadLibrary και LoadLibraryEx functions. Ποιο συγκεκριμένα :

When an application dynamically loads a DLL without specifying a fully qualified path, Windows tries to locate this DLL by searching through a well-defined set of directories. These sets of directories are known as DLL search path.

The following is the DLL search order for these two functions:

1. The directory from which the application loaded
2. The system directory
3. The 16-bit system directory
4. The Windows directory
5. The current working directory (CWD)
6. The directories that are listed in the PATH environment variable

Το πρόβλημα υφίσταται όταν εφαρμογές προσπαθούν να φορτώσουν libraries από remote locations, όπως πχ κάποιο UNC ή WebDAV path. Αν εκεί υπάρχει κάποιο "πειραγμένο" dll με το ίδιο όνομα με το original dll, τότε σαφέστατα μπορεί να κάνει hijack την εφαρμογή, κάνοντας insert κώδικα ή οτιδήποτε άλλο.

[aiolos.01]

Πολύ χοντρό κενό μου φαίνεται, πως δεν το είχαν χρησιμοποιήσει τόσα χρόνια;

[Banditgr]

Όπως συνήθως σε αυτές τις περιπτώσεις, προφανώς δεν είχαν ασχοληθεί αρκετά ή δεν μπορούσαν να βρουν τρόπο να "πειράξουν" widespread εφαρμογές που χρησιμοποιεί ο κόσμος ή απλά εκμεταλλεύτηκαν κάποιο άλλο κενό που δεν υπήρχε τρόπος να το εκμεταλλευτούν έως τώρα.

[Hetfield]

Λειτουργικο τρυπιο μεχρι το κοκκαλο (=πυρηνα)

[21706]

Συνιστούμε στους διαχειριστές να δοκιμάσουν αυτήν την ενημέρωση
διεξοδικά πριν την υλοποιήσουν σε περιβάλλον παραγωγής.

Τι σημαίνει αυτό; Ποιοι διαχειριστές; Να την εγκαταστήσουμε ή όχι;
Και γιατί δεν την δίνουν μέσω του windows update;

[nnn]

Γιατί μου μοιάζει σφάλμα στην εκάστοτε εφαρμογή και όχι του λειτουργικού ?
Αν ο developer βάζει χύμα call ab.dll χωρίς absolute path τι φταίει το λειτουργικό ?

[grayden]

...βρίσκονται μερικά της Adobe και συγκεκριμένα του InDesign, του Illustrator και του Photoshop, μερικά της Microsoft, o Foxit Reader, το uTorrent και το Wireshark.

Εγώ που τα έχω όλα αυτά μάλλον πρέπει να το βάψω μπλε και να το πετάξω στη θάλασσα ε;

[petasis]

Δεν θέλω να σας απογοητεύσω, αλλά αυτή η "τρύπα" υπάρχει σε όλα τα λειτουργικά.
Είναι περισσότερο θέμα εφαρμογής, παρά λειτουργικού...

[flamelab]

Το πρόβλημα μιλάει για DLL, που'ναι Windows specific.

[petasis]

Το πρόβλημα μιλάει για DLL, που'ναι Windows specific.

Τα DLL είναι απλά βιβλιοθήκες που φορτώνονται δυναμικά ενώ τρέχει το πρόγραμμα. Υπάρχουν και σε άλλα λειτουργικά (.so στο Linux/Unix, .dylib στο OSX, κλπ.).
Λειτουργούν ακριβώς με τον ίδιο τρόπο, και έχουν ακριβώς τις ίδιες "τρύπες"...

[flamelab]

Τα DLL είναι απλά βιβλιοθήκες που φορτώνονται δυναμικά ενώ τρέχει το πρόγραμμα. Υπάρχουν και σε άλλα λειτουργικά (.so στο Linux/Unix, .dylib στο OSX, κλπ.).
Λειτουργούν ακριβώς με τον ίδιο τρόπο, και έχουν ακριβώς τις ίδιες "τρύπες"...

Μπορείς να μου παραθεσεις link(s) για το εαν αυτό το προβλημα που αναφερεται στην ειδηση (το συγκεκριμενο δηλαδη) γινεται applied και στα αλλα λειτουργικά ;

Επίσης, με τον ίδιο τρόπο δεν λειτουργουν ακριβώς, αλλα δεν ειναι της παρούσης.

[21706]

Εγώ που τα έχω όλα αυτά μάλλον πρέπει να το βάψω μπλε και να το πετάξω στη θάλασσα ε;

Ειδικά για το Foxit Reader και το uTorrent δεν υπάρχει λόγος
να τα πετάξεις στη θάλασσα. Είναι απλά exe χωρίς κανένα dll.