Microsoft warns of DLL vulnerability in applications
24 August 2010, 17:23
Bài được đưa lên Internet ngày: 24/08/2010
Lời người dịch: “Kịch bản của cuộc tấn công này là hoàn toàn mới – cơ quan an ninh quốc gia Mỹ NSA đã cảnh báo về vấn đề “lừa gạt DLL” trong “Chỉ dẫn về An ninh của Windows NT” của mình 12 năm về trước”.
Một tư vấn về an ninh từ Microsoft cảnh báo về một lỗi lập trình lan truyền rộng mà có thể gây ra trong các ứng dụng chạy mã độc đặc biệt trong các tệp DLL bị lừa đảo khi, ví dụ, một người sử dụng mở một ảnh trên một ổ mạng. Dưới những điều kiện hoàn cảnh nhất định nào đó thì ứng dụng được cài đặt có thể sẽ tuần tự tải các thư viện chứa các mã độc từ thư mục mạng này lên.
Theo sau sự phát hiện về vấn đề hành xử trong iTunes của nhà cung cấp dịch vụ an ninh Acros, lập trình viên HD của Metasploit Moore đã phát hiện khoảng 40 ứng dụng khác bị lây nhiễm bởi vấn đề này. Theo Thierry Zoller, các chương trình bị lây nhiễm có cả Photoshop. Apple đã sửa lỗi này trong phiên bản 9.2.1 của iTunes, nhưng không rõ các ứng dụng nào khác vẫn còn bị tổn thương.
Để bảo vệ chống lại vấn đề này, Microsoft khuyến cáo kết thúc dịch vụ WebDAV và sử dụng một tường lửa để khóa các kết nối SMB ra bên ngoài. Hãng này cũng đã đưa ra một công cụ mà có thể được sử dụng để chỉnh hành vi tìm kiếm khi tải các thư viện thông qua các thông tin đăng ký. Một bài viết trên blog của Microsoft về TechNet Security Research & Defense đã đưa ra chi tiết các giá trị khóa đăng ký riêng rẽ.
Kịch bản của cuộc tấn công này là hoàn toàn mới – cơ quan an ninh quốc gia Mỹ NSA đã cảnh báo về vấn đề “lừa gạt DLL” trong “Chỉ dẫn về An ninh của Windows NT” của mình 12 năm về trước. Hơn nữa, Microsoft đã từng đôi lúc nói cho các lập trình viên cách để tải các thư viện một cách đúng đắn. Tuy nhiên, rõ ràng nhiều ứng dụng đang không gắn tới các chỉ dẫn này. Dường như nghi ngờ rằng một bản vá để giải quyết vấn đề này cho tất cả sẽ được làm ra cùng một lúc. Microsoft đã nói rằng không thể sửa được vấn đề này trực tiếp trong Windows, vì điều này có thể gây ra trong việc hoạt động ghi thành tài liệu sẽ không còn làm việc được như mong đợi nữa.
A security advisory from Microsoft warns of a widespread programming error which can result in applications executing malicious code in specially crafted DLL files when, for example, a user opens an image on a network drive. Under certain circumstances the installed application could subsequently load libraries containing malicious code from this network directory.
Following the discovery of the problem behaviour in iTunes by security services provider Acros, Metasploit developer HD Moore found approximately 40 other applications affected by the issue. According to Thierry Zoller, the affected programs include Photoshop. Apple has fixed the problem in version 9.2.1 of iTunes, but it's unclear which other applications remain vulnerable.
To protect against the problem, Microsoft recommends terminating the WebDAV service and using a firewall to block outbound SMB connections. The company has also released a tool which can be used to adjust search behaviour when loading libraries via registry entries. A post on Microsoft's TechNet Security Research & Defense blog details the individual registry key values.
This attack scenario is not entirely novel – the NSA warned of the problem of "DLL spoofing" in its "Windows NT Security Guidelines" 12 years ago. In addition, Microsoft has been telling developers how to load libraries correctly for some time. Clearly, however, many applications are failing to adhere to these guidelines. It seems doubtful that a patch to shut down this problem once and for all will be produced. Microsoft has stated that it's impossible to fix the issue directly in Windows, as this would result in documented functionality no longer working as expected.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.