Microsoft выпускает инструмент для блокировки атаки на загрузку DLl

Некоторое время назад были сообщения о проблеме безопасности, которая затронула около 40 различных приложений Windows. Microsoft быстро ответила на такие сообщения о потенциальных атаках с нулевым днем ​​против таких программ Windows, опубликовав обновление или инструмент для блокировки таких эксплойтов. Однако Microsoft также пояснила, что недостаток не в Windows.

Инструмент для блокировки атаки на загрузку DLL

Корпорация Майкрософт выпустила Рекомендацию по безопасности (2269637) под названием «Небезопасная загрузка библиотеки», возможно, удаленное выполнение кода.

Microsoft осознает, что было опубликовано исследование, в котором подробно описывается удаленный вектор атаки для класса уязвимостей, который влияет на то, как приложения загружают внешние библиотеки. Эта проблема вызвана конкретными небезопасными методами программирования, которые позволяют так называемые «бинарные посадки» или «атаки с предварительной загрузкой DLL». Эти действия могут позволить злоумышленнику удаленно выполнять произвольный код в контексте пользователя, запускающего уязвимое приложение, когда пользователь открывает файл из ненадежного местоположения ».

Microsoft также выпустила обновление, которое блокирует загрузку DLL из удаленных каталогов, тем самым предотвращая захват DLL.

В этом обновлении вводится новый раздел реестра CWDIllegalInDllSearch, который позволяет пользователям управлять алгоритмом пути поиска DLL. Алгоритм поиска DLL используется API LoadLibrary и API LoadLibraryEx при загрузке DLL без указания полного пути.

Когда приложение динамически загружает DLL без указания полного пути, Windows пытается найти эту DLL поиск по определенному набору каталогов. Эти наборы каталогов известны как путь поиска DLL. Как только Windows находит DLL в каталоге, Windows загружает эту DLL. Если Windows не находит DLL в любом из каталогов в порядке поиска DLL, Windows вернет сбой при загрузке DLL.

Подробнее и скачать ссылки на KB2264107.