Nem lesz könnyű megbirkózni a DLL-kezelési hibával

Ahogy arról korábban a Biztonságportálon már beszámoltunk, HD Moore, a Rapid7 biztonsági igazgatója és a Metasploit fejlesztője a múlt héten arra hívta fel a figyelmet, hogy egy olyan sebezhetőséget sikerült kimutatni több alkalmazásban, amely kártékony kódok futtatásához, és egyes esetekben az érintett rendszerek feletti teljes irányítás átvételéhez is hozzásegítheti a támadókat. Nem sokkal később kiderült, hogy a problémára korábban már az Acros Security is felfigyelt, és a vizsgálatok szerint 220 neves szoftverfejlesztő cég közül legalább száznak van olyan szoftvere, amely tartalmazza a biztonsági hibát.

"A támadást elsősorban az teszi lehetővé, hogy a Windows az aktuális munkakönyvtárat is belefoglalja abba a keresési listába, amely alapján betölti az egyes állományokat, komponenseket. A hekkerek a Windows-os alkalmazások széles körében alkalmazhatják azt a trükköt, amelynek segítségével a szoftvereket arra vehetik rá, hogy éppúgy töltsenek be kártékony dll és exe fájlokat, mint ahogy azt az ártalmatlan összetevőkkel tennék" - mondta Mitja Kolsek, az Acros Security elnök-vezérizgatója.

Reagált a Microsoft

A Microsoft a DLL-kezelési rendellenesség kapcsán egy tájékoztatót adott ki. Ebben tulajdonképpen megerősítette a Moore és a Kolsek által felvetett probléma létezését. A cég jelezte, hogy a sérülékenység valóban a DLL-ek nem megfelelő meghívására vezethető vissza, és kártékony kódok jogosulatlan távoli futtatását segítheti elő. A hiba akkor jelentkezhet, amikor egy alkalmazás úgy akar betölteni egy DLL-t, hogy annak nem határozza meg a teljes elérési útvonalát. Ekkor ugyanis a támadók elérhetik, hogy egy általuk készített DLL kerüljön a memóriába. A kockázatot tovább fokozza, hogy időközben az interneten elérhetővé váltak azok a kódok, amelyek segítségével a sérülékenység viszonylag könnyen kihasználható.

Hogyan védekezzünk?

A Microsoft szerint a sebezhetőség inkább az alkalmazásokban van, mintsem a Windowsban. Ezért úgy tűnik, hogy a cég nem tudja anélkül javítani az operációs rendszert, hogy egyes szoftverek kapcsán ne merülnének fel kompatibilitási problémák. Ennél fogva a fejlesztőknek saját maguknak kell átvizsgálniuk a programjaikat, és szükség esetén azokat egyenként patch-elni.

A Microsoft a tájékoztatójában jelezte, hogy az SMB protokoll határvédelmi eszközökön, tűzfalakon való blokkolásával a kockázatok csökkenthetők. Továbbá a távoli fájlrendszerek és a WebDAV megosztások körültekintő használata is mérsékelheti a veszélyeket. Mindezek mellett a Microsoft kiadott egy olyan, DLL-fájlok keresési algoritmusának szabályozására szolgáló megoldást is, amely lehetőséget biztosít a DLL-ek távoli könyvárakból történő betöltésének megakadályozására. Ezt a technikát azonban a cég elsősorban a vállalatok számára ajánlja. Christopher Budd, az MSRC (Microsoft Security Response Center) kommunikációs vezetője azt is megerősítette, hogy ez a fajta kockázatcsökkentő megoldás az automatikus frissítési szolgáltatásokon (például a Windows Update-en) keresztül nem lesz elérhető. Viszont a fejlesztők számára készült egy olyan, MSDN-en megtekinthető útmutató, amely a DLL-ek biztonságos kezelését hivatott ismertetni.

A Microsoft közölte, hogy a saját alkalmazásainak vizsgálata jelenleg is folyamatban van, és ha olyan szoftverre bukkan, amely javításra szorul, akkor meg fogja tenni a szükséges lépéseket.

Évtizedes probléma?

A mostani DLL-problémákkal kapcsolatos érdekesség, hogy a neves izraeli biztonsági kutató, Aviv Raff közölte, hogy a sebezhetőség valójában már 2000 óta ismert. Ő maga pedig 2006 decemberében is jelzett a Microsoftnak egy olyan, Internet Explorer-hez kötődő sérülékenységet, amely szintén DLL-betöltési rendellenességre volt visszavezethető. Ezt a biztonsági rést végül 2009 áprilisában foltozták be a fejlesztők.