Artikel top billede

DK-CERT: DLL-hul er svært at lukke

Mindst 200 Windows-applikationer er ramt af en sårbarhed, som ikke kan løses med en opdatering til Windows, skriver Shehzad Ahmad fra DK-CERT i sin månedlige klumme om it-sikkerhed.

Hvor kigger Windows efter DLL-filer? Dette uskyldige spørgsmål er kernen i en nyopdaget sårbarhed, der kan berøre hundredvis af Windows-applikationer.

Tilbage i marts måned lukkede Apple et sikkerhedshul i iTunes til Windows.

Den 18. august udsendte det slovenske sikkerhedsfirma Acros Security en omtale af sårbarheden, som vakte sikkerhedsforsker H.D. Moores opmærksomhed.
Han fandt ud af, at 40 applikationer til Windows har en lignende sårbarhed.

Derefter oplyste Acros, at de har fundet over 200 applikationer med sårbarheden - og at der sikkert er mange flere.

Problem med at finde filen

Sårbarheden ligger som sagt i Windows brug af DLL'er (Dynamic Link Library).

Når en applikation har brug for en funktion, der ligger i et eksternt bibliotek, kalder den det pågældende bibliotek via dets filnavn.

Hvis applikationen oplyser den fulde sti til DLL-filen, er der ikke noget problem.

Men hvis applikationen kun kalder fx "filnavn.dll," skal Windows selv finde ud af, hvor filen ligger.

Til det formål har Windows en fastlagt rækkefølge for, hvilke mapper den kigger i.

Som standard indgår den aktuelle arbejdsmappe (Current Working Directory, CWD) i listen.

Her ligger sårbarheden.

Over WebDAV eller USB

En angriber kan udarbejde en DLL-fil, der udfører skadelige kommandoer.

Den placerer han på en server på internettet, som kan nås via protokollen WebDAV.

I samme mappe lægger han et uskyldigt dokument, der har en filtype, som skal åbnes af en applikation, der har sårbarheden.

Derefter skal han lokke sit offer til at åbne filen via den indbyggede Web Client-tjeneste i Windows.

Når offeret klikker på filen, starter den sårbare applikation.

Derfor åbnes filen

Den kalder en DLL uden at angive den fulde sti til filen.

Derfor åbnes den DLL-fil af samme navn, som ligger på angriberens server.

H.D. Moore har for nylig tilføjet sårbarheden til værktøjet Metasploit, så det vil være forholdsvis let at lave angrebsprogrammer, der udnytter den.

I praksis kræver det dog stadig, at angriberen kan narre sit offer til at åbne en fil via WebDAV.

Så sårbarheden er ikke så let at anvende som en, der bare kræver, at man kan sende datapakker til en åben port på en Windows-computer.

Allerede modtaget rapporter

Ikke desto mindre har SANS Internet Storm Center allerede modtaget rapporter om de første angreb, der udnytter sårbarheden.

De første angreb er rettet mod programmerne uTorrent, Microsoft Office og Windows Mail.

Sårbarheden kan i øvrigt også udnyttes via USB-nøgler, hvor den farlige DLL-fil lægges sammen med et dokument, offeret åbner.

Endelig kan sårbarheden udnyttes over SMB/CIFS (dvs. Windows' fildeling).

Generelt set kan den udnyttes alle de steder, hvor en dokumentfil åbnes af den sårbare applikation, direkte hvor den ligger uden først at blive kopieret til en lokal midlertidig folder.

På den måde bliver CWD sat til en remote lokation i stedet for en midlertidig folder lokalt på maskinen.

Fordi sårbarheden ligger i de enkelte applikationer snarere end i Windows, er den svær at fjerne. Det bliver op til de enkelte udviklere at sikre deres applikationer.
Værktøjer til hjælp

Risiko har længe været kendt

Det har længe været kendt, at der lå en risiko i Windows' behandling af DLL'er.

Derfor anbefaler Microsoft, at udviklere altid angiver den fulde sti til DLL-filer.

Hvis man som bruger vil beskytte sig, kan man installere en opdatering fra Microsoft.

Den indfører en ny indstilling i registreringsdatabasen ved navn CWDIllegalInDllSearch. Indstillingen kan forhindre, at Windows kigger i den aktuelle arbejdsmappe, når den søger efter DLL-filer.

Der er dog en risiko for, at nogle applikationer så vil holde op med at virke.

Der findes i forvejen en indstilling, SafeDllSearchMode, der som standard er slået til i Windows. Den placerer CWD langt nede i hierarkiet af steder, hvor Windows søger efter DLL'er.

Dermed er den også med til at beskytte mod udnyttelse af metoden.

H.D. Moore har udviklet et værktøj, DLLHijackAuditKit, som man kan bruge til at undersøge, om applikationer kalder DLL-filer på den risikable måde.

Råd til udviklere

Jeg råder alle, der udvikler applikationer til Windows, til at tjekke, at deres applikationer kalder DLL-filer på den sikre måde.

It-ansvarlige kan afprøve den nye indstilling i registreringsdatabasen, hvis de vil sikre deres systemer.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere