Microsoft slipper verktøyet for å blokkere DLL-lastkapsler

Noen gang tilbake var det rapporter om et sikkerhetsproblem som rammet rundt 40 forskjellige Windows-apper. Microsoft har raskt svart på slike rapporter om potensielle nulldagsangrep mot slike Windows-programmer ved å publisere en oppdatering eller et verktøy for å blokkere slike utnytter. Men Microsoft forklarte også at feilen ikke er i Windows.

Verktøy for å blokkere DLL laster kapringangrep

Microsoft har utstedt en Security Advisory (2269637) med tittelen, kan Usikker Biblioteklasting tillate ekstern kjøring av kode.

"Microsoft er klar over at det har blitt publisert forskning som beskriver en ekstern angrepsvektor for en klasse av sårbarheter som påvirker hvordan applikasjoner laster eksterne biblioteker. Dette problemet skyldes spesifikke usikre programmeringspraksis som tillater såkalt "binær planting" eller "DLL forhåndsinnlasting av angrep". Disse rutene kan tillate en angriper å eksternt utføre vilkårlig kode i sammenheng med at brukeren kjører det sårbare programmet når brukeren åpner en fil fra en usikker sted. "

Microsoft har også gitt ut en oppdatering som vil blokkere lastingen av DLL-er fra eksterne kataloger, og dermed hindre DLL-kapsler.

Denne oppdateringen introduserer en ny registernøkkel CWDIllegalInDllSearch som lar brukerne kontrollere DLL-søkeveiledningsalgoritmen. DLL-søkebanalgoritmen brukes av LoadLibrary API og LoadLibraryEx API når DLL er lastet uten å spesifisere en fullt kvalifisert sti.

Når et program dynamisk laster en DLL uten å spesifisere en fullt kvalifisert sti, forsøker Windows å finne denne DLL ved å søke gjennom et veldefinert sett med kataloger. Disse settene av kataloger er kjent som DLL-søkebanen. Så snart Windows lokaliserer DLL i en katalog, laster Windows den DLL. Hvis Windows ikke finner DLL i noen av katalogene i DLL-søkeordren, vil Windows returnere en feil i DLL-belastningsoperasjonen.

Flere detaljer og last ned koblinger på KB2264107.