42 svar i den här tråden

[essob]

Citat

En brist i Windows kan utnyttjas för att utföra DLL-attacker mot sårbara applikationer

Sitic:
http://www.sitic.se/...a-applikationer

Citat

Microsoft Security Advisory (2269637)
Insecure Library Loading Could Allow Remote Code Execution

MS Technet:
http://www.microsoft...ry/2269637.mspx

[gebe]

Citat från IDG:
”Eftersom problemet inte har med Windows att göra finns det inget Microsoft kan göra i form av en uppdatering.”
”Microsoft har istället släppt ett verktyg som kan användas för att begränsa hur applikationer anropar dll-filer i Windows. Verktyget är dock ganska avancerat och bör endast installeras av experter.”
Till artikeln

[Andreas Stenhall]

Och nu börjar hålet utnyttjas...
http://www.idg.se/2....-windowsprogram

[e-son]

gebe, den 25 augusti 2010 - 07:03 , skrev:

Verktyget är dock ganska avancerat och bör endast installeras av experter.”
Till artikeln

"Verktyget" är inget annat än ett registertillägg. Det går att applicera på specificerad applikation men då krävs det att man vet exakt vilka program som innehåller sårbarheten. För gemene man gäller nog en allmän blockering av dll-inläsning från WebDAV/fjärrkatalog, vilket vid behov kan göras med nedanstående registerfil.

Tips från coachen:
Kör DisableWebDAVLoadLibrary.reg och starta om datorn, om du känner dig orolig inför den här sårbarheten.
Får du problem med att starta/använda något av dina program tar du bort registertillägget igen, med EnableWebDAVLoadLibrary.reg.

 DisableWebDAVLoadLibrary.reg   149bytes   24 Antal nedladdningar
 EnableWebDAVLoadLibrary.reg   136bytes   11 Antal nedladdningar

Edit:
Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet, men har ändå applicerat denna "workaround"... för att se om den ställer till några oväntade problem...!

Det här inlägget har redigerats av e-son: 25 augusti 2010 - 09:14

[essob]

e-son, den 25 augusti 2010 - 08:22 , skrev:

Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet

Jo, det stämmer!


1) Personligen sen tidigare stängt av WebDAV (tjänsten Webclient). Har personligen ingen nytta av den tjänsten.

2) Ser till att port 445 stängd via brandvägg som hanterar SMB ("Samba") - Server Message Blocks.

[Nilsson]

essob, den 25 augusti 2010 - 11:34 , skrev:

2) Ser till att port 445 stängd via brandvägg som hanterar SMB ("Samba") - Server Message Blocks.

hur ser du till att port 445 är stäbgd via brandvägg ?

[e-son]

Nilsson, den 25 augusti 2010 - 14:19 , skrev:

hur ser du till att port 445 är stäbgd via brandvägg ?

Det beror ju på vad du använder för brandvägg, men använder du windows inbyggda så startar du wf.msc och blockerar protokollet "Fil- och skrivardelning (SMB-*)" under både in och utgående trafik.

[Nilsson]

är det blockerad nu då?


'

Bifogade fil(er)

•  Skärmklipp.JPG   88,55K   9 Antal nedladdningar

Det här inlägget har redigerats av Nilsson: 25 augusti 2010 - 18:10

[e-son]

Nilsson, den 25 augusti 2010 - 18:06 , skrev:

är det blockerad nu då?

Ja det verkar så, men det var inte där du skulle stänga av utan i den avancerade panelen. Som det ser ut nu, är bl.a både RPC och NetBios avstängt tillsammans med SMB. Det kanske inte spelar någon roll, men får du problem med t.ex skrivare så vet du var du skall leta.

Det här inlägget har redigerats av e-son: 25 augusti 2010 - 18:59

[e-son]

µTorrent har fixat exploiten...!
Jag gissar att det finns en och annan som varmkör µTorrent... så uppdatera genast!
http://www.utorrent.com/downloads

-- 2010-08-25: Version 2.0.4 (build 21431)
- Fix: fixed DLL hijack exploit
- Change: add bold text for Ask toolbar offer
- Fix: added groupbox in bandwidth settings
- Fix: Fixed size of static text in transfer cap setting pane to be translatable
- Fix: Fixed peer exchange exploit
- Fix: Safari 5 compatibility for WebUI
- Fix: WebUI security improvements

[e-son]

En kanske bättre lista på vilka applikationer som är sårbara...!

DLL Hijacking(KB 2269637)–the unofficial list

[Andreas Stenhall]

Microsoft postar mer info som en KB-artikel, bland annat hur du själv med Process Monitor kan se om de appar du kör är sårbara
http://support.micro...=rss&spid=14134

[e-son]

Andreas Stenhall, den 26 augusti 2010 - 19:50 , skrev:

Microsoft postar mer info som en KB-artikel, bland annat hur du själv med Process Monitor kan se om de appar du kör är sårbara

Finns ett DLLHijackAuditKit som skall förenkla det hela... fast jag kom bara halvvägs när jag provade i morse. Första delen funkade smärtfritt men själva analysen ville inte alls.

[e-son]

VLC har också fixat problemet... ut och uppdatera!!!

http://www.videolan....ad-windows.html


Changes between 1.1.3 and 1.1.4:
--------------------------------

Win32:
* Fix a security issue when loading DLLs, especially in Qt4 and dmo modules,
See VideoLAN-SA-1005
* Fix folders opening from the interface

Translations:
* Update translations for Lithuanian, Bengali, Slovak, French, Dutch, Ukranian
Polish, Simplified Chinese, German and Galician

[Nilsson]

måste man uppdatera alla produkter ?
kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

och ifall någon utnyttjar dessa program då kan jag väl se ifall nån hacker är inne på min dator och kan då stoppa det genom att stänga av hela datorn och nätverket eller hur ?

Det här inlägget har redigerats av Nilsson: 27 augusti 2010 - 19:11

[Cecilia]

Eftersom felet ligger i hur varje program är skrivet måste varje program uppdateras.

Om det syns att det finns skadliga filer i din dator beror helt på vad de skadliga filerna gör och vad du har för säkerhetsprogram.

[Andreas Stenhall]

Nilsson, den 27 augusti 2010 - 19:09 , skrev:

måste man uppdatera alla produkter ?
kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

Om man blockerar detta i Windows kommer en stor mängd applikationer att sluta fungera, vilket i praktikten gör att en Windowsfix för detta aldrig kommer att se dagens ljus. Microsoft har istället förtydligat rekommendationerna kring detta för att utvecklarna ska kunna åtgärda problemet i sina produkter.

[Cynthia]

e-son, den 26 augusti 2010 - 20:26 , skrev:

Finns ett DLLHijackAuditKit som skall förenkla det hela... fast jag kom bara halvvägs när jag provade i morse. Första delen funkade smärtfritt men själva analysen ville inte alls.

Fungerade inte alls.

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

 error.png   29,85K   0 Antal nedladdningar

[e-son]

Cynthia, den 28 augusti 2010 - 16:13 , skrev:

Fungerade inte alls.

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

Jodå, det fungerar. Jag gjorde ett nytt försök dagen efter när jag hade tid att engagera mig riktigt... och det fungerade utmärkt som sagt! Ladda ner och lägg Procmon.exe i samma mapp som DLLHijackAuditKit bara.

[Cynthia]

Tackar! Nu har den i vart fall börjat snurra igång.