Наверняка многие уже слышали, в Интернете буйствует очередной 0-day, которому, наряду с программным обеспечением компании Microsoft, подвержен ряд программ, разработанных третьими сторонами. На сегодняшний день об этой уязвимости былонаписано и рассказано очень много, поэтому я не буду вдаваться в детали. Скажу только, что причиной уязвимости послужила безграмотность разработчиковпрограммного обеспечения, которые не удосужились прописать полные пути к используемым в их коде динамически загружаемым библиотекам, так называемым DLL (Dinamic-Link Libraries). Это позволило злоумышленникам, используя расположенные на съемном носителе или сетевом ресурсе файл данных (например, .mp3 или .pdf) и специально подготовленную DLL-библиотеку, получить возможность выполнения произвольного кода на компьютере жертвы в контексте безопасности уязвимой программы-обработчика (в нашем случае - проигрывателя звуковых файлов или просмотрщика PDF-документов). Демонстрацию уязвимости можно без труда найти на Youtube.
Наиболее любопытные читатели могут воспользоваться утилитой DLLHijackAuditKit v2от HD Moore, которая предназначена для поиска уязвимого ПО, установленного в исследуемой операционной системе. Утилита выполняется не больше часа, а результат выполнения по меньшей мере впечатляет. Все действия, подробно описанные в соответствующем посте, следует выполнять на виртуальной машине, либо после полного резервного копирования ОС.
Теперь хорошие новости. Microsoft выпустила и разместила в Windows Update экстренное "исправление", позволяющее значительно снизить вероятность возможного взлома. Слово "исправление" намеренно взято в кавычки, потому что на самом деле предлагаемое решение состоит из двух частей и
добавляет в ОС специальную утилиту и ключ реестра CWDIllegalInDllSearch,
изменяет настройки системного реестра таким образом, чтобы устранить ряд возможных сетевых векторов атаки.
Настройка CWDIllegalInDllSearch позволяет пользователю ОС самостоятельно определить алгоритм поиска DLL-библиотек, как для отдельных приложений, так для системы в целом. То есть, Microsoft любезно предоставляет нам возможность частично исправить ошибку разработчиков.
Подробно о деталях настройки и прочих любопытных тонкостях можно прочитать в этой статье базы знаний. Для быстрого применения рекомендуемых Microsoft изменений следует скачать и установить обновление KB2264107 (секция Update Information) для вашей ОС, после чего скачать и установить Fix-It(секция Fix It For Me).
Microsoft также составила и опубликовала руководствопо безопасному программированию с использованием DLL-библиотек.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
ТВОЕ «МНЕ ПОМОГЛО» — ЭТО ДИАГНОЗ
Миру плевать на то, во что ты веришь. Твой личный опыт — это статистическая погрешность и ошибка выжившего. Пока ты лечишься подорожником и верой, умные люди смотрят на двойные слепые плацебо-контролируемые исследования. Узнай, почему быть циничным занудой выгоднее, чем восторженным идиотом.
