Microsoft varnar för DLL sårbarhet i applikationer

[essob]

En brist i Windows kan utnyttjas för att utföra DLL-attacker mot sårbara applikationer

Sitic:

http://www.sitic.se/publikationer/namnvart/en-brist-i-windows-kan-utnyttjas-foer-att-utfoera-dll-attacker-mot-saarbara-applikationer

Microsoft Security Advisory (2269637)

Insecure Library Loading Could Allow Remote Code Execution

MS Technet:

http://www.microsoft.com/technet/security/advisory/2269637.mspx

[gebe]

Citat från IDG:

Eftersom problemet inte har med Windows att göra finns det inget Microsoft kan göra i form av en uppdatering.

Microsoft har istället släppt ett verktyg som kan användas för att begränsa hur applikationer anropar dll-filer i Windows. Verktyget är dock ganska avancerat och bör endast installeras av experter.

Till artikeln

[Andreas Stenhall]

Och nu börjar hålet utnyttjas...

http://www.idg.se/2.1085/1.335486/nya-attacker-mot-windowsprogram

[e-son]

Verktyget är dock ganska avancerat och bör endast installeras av experter.”

Till artikeln

"Verktyget" är inget annat än ett registertillägg. Det går att applicera på specificerad applikation men då krävs det att man vet exakt vilka program som innehåller sårbarheten. För gemene man gäller nog en allmän blockering av dll-inläsning från WebDAV/fjärrkatalog, vilket vid behov kan göras med nedanstående registerfil.

Tips från coachen:

Kör DisableWebDAVLoadLibrary.reg och starta om datorn, om du känner dig orolig inför den här sårbarheten.

Får du problem med att starta/använda något av dina program tar du bort registertillägget igen, med EnableWebDAVLoadLibrary.reg.

DisableWebDAVLoadLibrary.reg

EnableWebDAVLoadLibrary.reg

Edit:

Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet, men har ändå applicerat denna "workaround"... för att se om den ställer till några oväntade problem...!

Edited August 25, 2010 by e-son

[essob]

Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet

Jo, det stämmer!

1) Personligen sen tidigare stängt av WebDAV (tjänsten Webclient). Har personligen ingen nytta av den tjänsten.

2) Ser till att port 445 stängd via brandvägg som hanterar SMB ("Samba") - Server Message Blocks.

[Nilsson]

2) Ser till att port 445 stängd via brandvägg som hanterar SMB ("Samba") - Server Message Blocks.

hur ser du till att port 445 är stäbgd via brandvägg ?

[e-son]

hur ser du till att port 445 är stäbgd via brandvägg ?

Det beror ju på vad du använder för brandvägg, men använder du windows inbyggda så startar du wf.msc och blockerar protokollet "Fil- och skrivardelning (SMB-*)" under både in och utgående trafik.

[Nilsson]

är det blockerad nu då?

'

Edited August 25, 2010 by Nilsson

[e-son]

är det blockerad nu då?

Ja det verkar så, men det var inte där du skulle stänga av utan i den avancerade panelen. Som det ser ut nu, är bl.a både RPC och NetBios avstängt tillsammans med SMB. Det kanske inte spelar någon roll, men får du problem med t.ex skrivare så vet du var du skall leta.

Edited August 25, 2010 by e-son

[e-son]

µTorrent har fixat exploiten...!

Jag gissar att det finns en och annan som varmkör µTorrent... så uppdatera genast!

http://www.utorrent.com/downloads

-- 2010-08-25: Version 2.0.4 (build 21431)

- Fix: fixed DLL hijack exploit

- Change: add bold text for Ask toolbar offer

- Fix: added groupbox in bandwidth settings

- Fix: Fixed size of static text in transfer cap setting pane to be translatable

- Fix: Fixed peer exchange exploit

- Fix: Safari 5 compatibility for WebUI

- Fix: WebUI security improvements

[e-son]

En kanske bättre lista på vilka applikationer som är sårbara...!

DLL Hijacking(KB 2269637)the unofficial list

[Andreas Stenhall]

Microsoft postar mer info som en KB-artikel, bland annat hur du själv med Process Monitor kan se om de appar du kör är sårbara

http://support.microsoft.com/default.aspx?scid=kb;en-us;2389418&sd=rss&spid=14134

[e-son]

Microsoft postar mer info som en KB-artikel, bland annat hur du själv med Process Monitor kan se om de appar du kör är sårbara

Finns ett DLLHijackAuditKit som skall förenkla det hela... fast jag kom bara halvvägs när jag provade i morse. Första delen funkade smärtfritt men själva analysen ville inte alls.

[e-son]

VLC har också fixat problemet... ut och uppdatera!!!

http://www.videolan.org/vlc/download-windows.html

Changes between 1.1.3 and 1.1.4:

--------------------------------

Win32:

* Fix a security issue when loading DLLs, especially in Qt4 and dmo modules,

See VideoLAN-SA-1005

* Fix folders opening from the interface

Translations:

* Update translations for Lithuanian, Bengali, Slovak, French, Dutch, Ukranian

Polish, Simplified Chinese, German and Galician

[Nilsson]

måste man uppdatera alla produkter ?

kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

och ifall någon utnyttjar dessa program då kan jag väl se ifall nån hacker är inne på min dator och kan då stoppa det genom att stänga av hela datorn och nätverket eller hur ?

Edited August 27, 2010 by Nilsson

[Cecilia]

Eftersom felet ligger i hur varje program är skrivet måste varje program uppdateras.

Om det syns att det finns skadliga filer i din dator beror helt på vad de skadliga filerna gör och vad du har för säkerhetsprogram.

[Andreas Stenhall]

måste man uppdatera alla produkter ?

kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

Om man blockerar detta i Windows kommer en stor mängd applikationer att sluta fungera, vilket i praktikten gör att en Windowsfix för detta aldrig kommer att se dagens ljus. Microsoft har istället förtydligat rekommendationerna kring detta för att utvecklarna ska kunna åtgärda problemet i sina produkter.

[Cynthia]

Finns ett DLLHijackAuditKit som skall förenkla det hela... fast jag kom bara halvvägs när jag provade i morse. Första delen funkade smärtfritt men själva analysen ville inte alls.

Fungerade inte alls.

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

[e-son]

Fungerade inte alls.

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

Jodå, det fungerar. Jag gjorde ett nytt försök dagen efter när jag hade tid att engagera mig riktigt... och det fungerade utmärkt som sagt! Ladda ner och lägg Procmon.exe i samma mapp som DLLHijackAuditKit bara.

[Cynthia]

Tackar! Nu har den i vart fall börjat snurra igång.

[essob]

Exploit Database for "DLL hijacking"

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=DLL+Hijacking&filter_author=&filter_platform=0&filter_type=0&filter_port=&filter_osvdb=&filter_cve=

[Cynthia]

Exploit Database for "DLL hijacking"

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=DLL+Hijacking&filter_author=&filter_platform=0&filter_type=0&filter_port=&filter_osvdb=&filter_cve=

Känns inte som den täcker allt (ännu). Jag hade program som inte finns i den listan i min "farliga program" skanning.

[Nilsson]

men jag läste att "HitmanPro" hittar ifall datorn har blivit infekterad, så det är ingen fara=) bara man scanar datorn en gång per vecka med HitmanPro det är det enda programmet som hittar denna infektion för tillfälligt.

[essob]

Känns inte som den täcker allt (ännu). Jag hade program som inte finns i den listan i min "farliga program" skanning.

Självklart, det är ju en ongoing process. Listan blir nog lång med tiden. Mycket lång.

Nu lite action. Nu blir det filmtajm.

"microsoft-dll-hijacking-exploit-in-action"

http://www.offensive-security.com/offsec/microsoft-dll-hijacking-exploit-in-action/

[Cynthia]

Så man måste öppna någon fil för att det här dll hijackingen ska fungera? Eller kan man få det även när man surfar runt på olika sidor?