Jump to content

Microsoft varnar för DLL sårbarhet i applikationer


Recommended Posts

En brist i Windows kan utnyttjas för att utföra DLL-attacker mot sårbara applikationer

Sitic:

http://www.sitic.se/publikationer/namnvart/en-brist-i-windows-kan-utnyttjas-foer-att-utfoera-dll-attacker-mot-saarbara-applikationer

Microsoft Security Advisory (2269637)

Insecure Library Loading Could Allow Remote Code Execution

MS Technet:

http://www.microsoft.com/technet/security/advisory/2269637.mspx

Link to comment
Share on other sites

Citat från IDG:

Eftersom problemet inte har med Windows att göra finns det inget Microsoft kan göra i form av en uppdatering.

Microsoft har istället släppt ett verktyg som kan användas för att begränsa hur applikationer anropar dll-filer i Windows. Verktyget är dock ganska avancerat och bör endast installeras av experter.

Till artikeln

Link to comment
Share on other sites

Verktyget är dock ganska avancerat och bör endast installeras av experter.”

Till artikeln

"Verktyget" är inget annat än ett registertillägg. Det går att applicera på specificerad applikation men då krävs det att man vet exakt vilka program som innehåller sårbarheten. För gemene man gäller nog en allmän blockering av dll-inläsning från WebDAV/fjärrkatalog, vilket vid behov kan göras med nedanstående registerfil.

Tips från coachen:

Kör DisableWebDAVLoadLibrary.reg och starta om datorn, om du känner dig orolig inför den här sårbarheten.

Får du problem med att starta/använda något av dina program tar du bort registertillägget igen, med EnableWebDAVLoadLibrary.reg.

DisableWebDAVLoadLibrary.reg

EnableWebDAVLoadLibrary.reg

Edit:

Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet, men har ändå applicerat denna "workaround"... för att se om den ställer till några oväntade problem...! :rolleyes:

Edited by e-son
Link to comment
Share on other sites

Kan väl tillägga att jag inte är särskilt orolig för denna sårbarhet

Jo, det stämmer! ;)

1) Personligen sen tidigare stängt av WebDAV (tjänsten Webclient). Har personligen ingen nytta av den tjänsten.

2) Ser till att port 445 stängd via brandvägg som hanterar SMB ("Samba") - Server Message Blocks.

Link to comment
Share on other sites

hur ser du till att port 445 är stäbgd via brandvägg ?

Det beror ju på vad du använder för brandvägg, men använder du windows inbyggda så startar du wf.msc och blockerar protokollet "Fil- och skrivardelning (SMB-*)" under både in och utgående trafik.

Link to comment
Share on other sites

är det blockerad nu då?

Ja det verkar så, men det var inte där du skulle stänga av utan i den avancerade panelen. Som det ser ut nu, är bl.a både RPC och NetBios avstängt tillsammans med SMB. Det kanske inte spelar någon roll, men får du problem med t.ex skrivare så vet du var du skall leta.

Edited by e-son
Link to comment
Share on other sites

µTorrent har fixat exploiten...!

Jag gissar att det finns en och annan som varmkör µTorrent... så uppdatera genast!

http://www.utorrent.com/downloads

-- 2010-08-25: Version 2.0.4 (build 21431)

- Fix: fixed DLL hijack exploit

- Change: add bold text for Ask toolbar offer

- Fix: added groupbox in bandwidth settings

- Fix: Fixed size of static text in transfer cap setting pane to be translatable

- Fix: Fixed peer exchange exploit

- Fix: Safari 5 compatibility for WebUI

- Fix: WebUI security improvements

Link to comment
Share on other sites

VLC har också fixat problemet... ut och uppdatera!!! :)

http://www.videolan.org/vlc/download-windows.html

Changes between 1.1.3 and 1.1.4:

--------------------------------

Win32:

* Fix a security issue when loading DLLs, especially in Qt4 and dmo modules,

See VideoLAN-SA-1005

* Fix folders opening from the interface

Translations:

* Update translations for Lithuanian, Bengali, Slovak, French, Dutch, Ukranian

Polish, Simplified Chinese, German and Galician

Link to comment
Share on other sites

måste man uppdatera alla produkter ?

kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

och ifall någon utnyttjar dessa program då kan jag väl se ifall nån hacker är inne på min dator och kan då stoppa det genom att stänga av hela datorn och nätverket eller hur ?

Edited by Nilsson
Link to comment
Share on other sites

måste man uppdatera alla produkter ?

kan de inte bara släppa en uppdatering som åtgärdar detta problem? kanske via windows update ?

Om man blockerar detta i Windows kommer en stor mängd applikationer att sluta fungera, vilket i praktikten gör att en Windowsfix för detta aldrig kommer att se dagens ljus. Microsoft har istället förtydligat rekommendationerna kring detta för att utvecklarna ska kunna åtgärda problemet i sina produkter.

Link to comment
Share on other sites

Finns ett DLLHijackAuditKit som skall förenkla det hela... fast jag kom bara halvvägs när jag provade i morse. Första delen funkade smärtfritt men själva analysen ville inte alls. :(

Fungerade inte alls. :(

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

post-9967-075113300 1283008265_thumb.png

Link to comment
Share on other sites

Fungerade inte alls. :(

Kommer bara upp att den inte kunde ladda ner en fil och sedan avslutas programmet. Hittar inte heller hur man ska kunna ladda ner den filen manuellt.

Jodå, det fungerar. Jag gjorde ett nytt försök dagen efter när jag hade tid att engagera mig riktigt... och det fungerade utmärkt som sagt! Ladda ner och lägg Procmon.exe i samma mapp som DLLHijackAuditKit bara.

Link to comment
Share on other sites

Känns inte som den täcker allt (ännu). Jag hade program som inte finns i den listan i min "farliga program" skanning. :(

Link to comment
Share on other sites

Känns inte som den täcker allt (ännu). Jag hade program som inte finns i den listan i min "farliga program" skanning. :(

Självklart, det är ju en ongoing process. Listan blir nog lång med tiden. Mycket lång. :o

Nu lite action. Nu blir det filmtajm.

"microsoft-dll-hijacking-exploit-in-action"

http://www.offensive-security.com/offsec/microsoft-dll-hijacking-exploit-in-action/

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...