A
Abraham54
Gast
Microsoft heeft bevestigt dat de DLL-veiligheidslekken bestaan.
Microsoft Security Advisory (2269637) - Insecure Library Loading Could Allow Remote Code Execution - Published: August 23, 2010
http://www.microsoft.com/technet/security/advisory/2269637.mspx
Waar gaat het nu precies om.
De meeste Windows programma's gebruiken een onveilige weg, om DLL-bestanden te laden.
Maar welke programma's zijn nu vatbaar voor de zogenaamde DLL-Hijacking?
Een officile lijst van getroffen programma's is er nog niet, maar met een tool kunnen ge-installeerde programma's op DLL-gaten getest worden!
Momenteel zijn prominente programma's, zoals Google's Chrome, FireFox, Photoshop CS2, WinZip, Virtual PC, Word 2007 en PowerPoint 2010 ermee getroffen en elke minuut komen er nieuwe programma's bij!
Hoe funktioneert nu DLL Hijacking?
Bijvoorbeeld een video ligt opgeslagen op een internetserver, dus kan met een Player direkt afgespeelt worden.
De player heeft echter niet alleen die video nodig, maar ook DLL-bestanden om korrekt te funktioneren.
Het probleem bestaat nu daarin, dat het niet altijd duidelijk is, waar de benodigde DLL's opgeslagen zijn.
Gevolg hiervan is, dat de player eerst in het serverbestand kijkt, waar ook de video ligt opgeslagen.
Cybercriminelen kunnen een gemanipuleerde DLL in dezelfde lokatie plaatsen en via deze weg zichzelf Administratorrechten geven.
Een Windowspatch kan dit probleem niet oplossen, het komt er op neer dat de Programma-aanbieders zelf hun tools dienen te patchen.
Hoe DLL's veilig geladen kunnen worden, beschrijft Microsoft in Dynamic-Link Library Security - http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
Ondanks dat erdus een mogelijkheid bestaat, hoe DLL's veilig te laden, gebruikt Microsoft zelf bij Office de onveilige methode voor DLL's.
Schijnbaar is ook Windows Explorer hierdoor getroffen!
Microsoft wil in ieder geval meerdere programma's op het DDL-lek onderzoeken en gaan patchen!
Tot nu toe is er echter nog geen officile lijst voorhanden vande getroffen programma's met preciese aanduiding van versienummer!
Gezien de hoeveelheid van getroffen programma's betwijfelen experts, dat er snel patches komen.
De BUG kan men vermijden, indien men geen onduidelijke of dubieuze bestanden van webservers direkt uitvoert.
Echter, dat heeft men als gebruiker vaak niet zelf in de hand; want indien je met FireFox of Chrome een website bezoekt, laadt de browser de elementen automatisch.
[Info]Intussen heeft Microsoft beschreven hoe men zich via een workaround beveiligen kan.
Zo dient de WebClient Service uitgeschakeld worden.
Windows 2000/XP: ga naar Start|Uitvoeren en geef als opdracht services.msc;
Windows Vista/7: typ in de zoekregel boven de startknop services en klik vervolgens boven in het startmenu op de snelkoppeling Services.
Scrol in het venster Services naar beneden naar WebClient, dubbelklik op die regel, verander bij Opstarttype de instelling van Automatisch naar Uitgeschakeld.
Vevolgens op de knop Stoppen klikken.
Ter afsluiting dan nog op de knoppen Toepassen en OK klikken en het Vester wegklikken.
Nu moet er nog geregeld worden, dat DLL's niet uit het internet of via netwerkvrijgaven nageladen worden.
In Windows Vista en Windows 7 dient regedit met Administratorrechten uitgevoerd te worden.
Start de registereditor en navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager.
Klik met rechts op Session Manager, kies Nieuw, DWORD-waarde en geef als naam CWDIllegalInDllSearch.
Dubbelklik vervolgen op deze nieuwe DWORD-waarde en geef als waarde een 1 in.
Tevens dienen in de firewall de poorten 139 en 445 geblokkeerd te worden![/Info]
Microsoft Security Advisory (2269637) - Insecure Library Loading Could Allow Remote Code Execution - Published: August 23, 2010
http://www.microsoft.com/technet/security/advisory/2269637.mspx
Waar gaat het nu precies om.
De meeste Windows programma's gebruiken een onveilige weg, om DLL-bestanden te laden.
Maar welke programma's zijn nu vatbaar voor de zogenaamde DLL-Hijacking?
Een officile lijst van getroffen programma's is er nog niet, maar met een tool kunnen ge-installeerde programma's op DLL-gaten getest worden!
Momenteel zijn prominente programma's, zoals Google's Chrome, FireFox, Photoshop CS2, WinZip, Virtual PC, Word 2007 en PowerPoint 2010 ermee getroffen en elke minuut komen er nieuwe programma's bij!
Hoe funktioneert nu DLL Hijacking?
Bijvoorbeeld een video ligt opgeslagen op een internetserver, dus kan met een Player direkt afgespeelt worden.
De player heeft echter niet alleen die video nodig, maar ook DLL-bestanden om korrekt te funktioneren.
Het probleem bestaat nu daarin, dat het niet altijd duidelijk is, waar de benodigde DLL's opgeslagen zijn.
Gevolg hiervan is, dat de player eerst in het serverbestand kijkt, waar ook de video ligt opgeslagen.
Cybercriminelen kunnen een gemanipuleerde DLL in dezelfde lokatie plaatsen en via deze weg zichzelf Administratorrechten geven.
Een Windowspatch kan dit probleem niet oplossen, het komt er op neer dat de Programma-aanbieders zelf hun tools dienen te patchen.
Hoe DLL's veilig geladen kunnen worden, beschrijft Microsoft in Dynamic-Link Library Security - http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
Ondanks dat erdus een mogelijkheid bestaat, hoe DLL's veilig te laden, gebruikt Microsoft zelf bij Office de onveilige methode voor DLL's.
Schijnbaar is ook Windows Explorer hierdoor getroffen!
Microsoft wil in ieder geval meerdere programma's op het DDL-lek onderzoeken en gaan patchen!
Tot nu toe is er echter nog geen officile lijst voorhanden vande getroffen programma's met preciese aanduiding van versienummer!
Gezien de hoeveelheid van getroffen programma's betwijfelen experts, dat er snel patches komen.
De BUG kan men vermijden, indien men geen onduidelijke of dubieuze bestanden van webservers direkt uitvoert.
Echter, dat heeft men als gebruiker vaak niet zelf in de hand; want indien je met FireFox of Chrome een website bezoekt, laadt de browser de elementen automatisch.
[Info]Intussen heeft Microsoft beschreven hoe men zich via een workaround beveiligen kan.
Zo dient de WebClient Service uitgeschakeld worden.
Windows 2000/XP: ga naar Start|Uitvoeren en geef als opdracht services.msc;
Windows Vista/7: typ in de zoekregel boven de startknop services en klik vervolgens boven in het startmenu op de snelkoppeling Services.
Scrol in het venster Services naar beneden naar WebClient, dubbelklik op die regel, verander bij Opstarttype de instelling van Automatisch naar Uitgeschakeld.
Vevolgens op de knop Stoppen klikken.
Ter afsluiting dan nog op de knoppen Toepassen en OK klikken en het Vester wegklikken.
Nu moet er nog geregeld worden, dat DLL's niet uit het internet of via netwerkvrijgaven nageladen worden.
In Windows Vista en Windows 7 dient regedit met Administratorrechten uitgevoerd te worden.
Start de registereditor en navigeer naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager.
Klik met rechts op Session Manager, kies Nieuw, DWORD-waarde en geef als naam CWDIllegalInDllSearch.
Dubbelklik vervolgen op deze nieuwe DWORD-waarde en geef als waarde een 1 in.
Tevens dienen in de firewall de poorten 139 en 445 geblokkeerd te worden![/Info]
Laatst bewerkt:
