[Solutie] Vulnerabilitate in incarcarea DLL-urilor din Windows

vulnerabilitate in incarcarea DLL-urilor windowsUPDATE: A fost publicat un patch automat.

Windows are din nou probleme de securitate si pentru ca a fost publicata si o solutie, va voi da mai multe detalii in cele ce urmeaza. Speram ca un patch oficial prin Windows Update va fi lansat de asemenea.

Vulnerabilitatea afecteaza aplicatiile care incarca DLL-urile intr-o maniera nesigura. (un DLL este o biblioteca de date necesara pentru buna functionare a unei aplicatii)

Iata ce se poate intampla: cand o aplicatie incarca un DLL fara a specifica calea spre acel fisier, Windows va incerca sa gaseasca DLL-ul cautand intr-un set predefinit de directoare. Daca un atacator poate face ca o aplicatie sa incarce o librarie – LoadLibrary() in timp ce directorul curent al aplicatiei este setat spre un director controlat de atacator, aplicatia va rula codul hackerului respectiv.


Un scenariu plauzibil ar fi ca atacatorul sa convinga victima in a deschide un fisier gazduit pe un share de tip SMB sau WebDAV, controlate de atacator. Fisierul in sine nu este malitios sau modificat. Problema este ca fisierul este incarcat dintr-o locatie unde atacatorul poate sa copieze de asemenea un DLL cu acelasi nume cu al DLL-ului incarcat de aplicatia vulnerabila.

UPDATE: A fost publicat patch-ul pentru fiecare sistem de operare in parte, rezolvand aceasta problema. Iata adresa de unde-l puteti descarca:
http://support.microsoft.com/kb/2264107

Solutia manuala pentru a rezolva problema este sa creati urmatoarele doua chei registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\CWDIllegalInDllSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\binaryname.exe\CWDIllegalInDllSearch



Mai multe detalii gasiti pe blog-ul Microsoft:
http://blogs.technet.com/b/srd/archive/2010/08/23/more-information-about-dll-preloading-remote-attack-vector.aspx

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “[Solutie] Vulnerabilitate in incarcarea DLL-urilor din Windows”

  1. Marius

    Cum se creeaza cheile de registru? Ca restul stiu sa fac. Doar atat vreau sa stiu.

  2. Gigi

    Daca antivirusul are detectie pe respectivul cod, ar trebui sa-l detecteze cand se lanseaza in memorie. Posibilitatea infectarii printr-o asemenea metoda este mica.

  3. altnume

    ¡¡¡¡bine ca ne informezi!!!
    ma bucuram azi pt ca aparuse..Kaspersky Blacklist Exploit v0.3 si eram in dubii in a executata >>clldr.dll<<
    m am calmat. bine ca nu executasem mizeria.
    va multumesc¡¡

    [si da. kis8 il vede dar nu se impacienta. iar recomandarea era sa il skip]

  4. laxinuver

    Bună informația, o să aștept totuși patch-ul oficial. Mulțumesc!

  5. altnume

    daca tot nu ni pricepem, e mai bine sa asteptam o rezolvare oficiala. desi clara e explicatia.[run/regedit si editezi acolo]
    poate il posteaza aci Radu
    a. parca terminasera cu update urile la xpsp3. s au razgandit?

  6. Patch-ul pentru Vulnerabilitatea DLL Blocheaza functionarea unor Aplicatii

    […] abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Va prezentam acum cateva zile solutia pentru remedierea vulnerabilitatii in incarcarea DLL-urilor pe sistemul de operare Windows. Utilitarul de protectie oferit de […]

Leave a Reply