Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Publicerad - Windows, Microsoft

En brist i Windows kan utnyttjas för att utföra DLL-attacker mot sårbara applikationer

En brist i Microsoft Windows tillåter program att dynamiskt ladda programbibliotek (DLL-filer) på ett sätt som kan utnyttjas för att få sårbara applikationer att exekvera godtycklig kod.

Applikationer i Windows har möjlighet att dynamiskt länka programbibliotek vid exekvering (DLL preloading). Om applikationen inte använder en specificerad sökväg när en DLL-fil skall läsas så söker Windows igenom vissa delar av filsystemet i en bestämd ordning. Det gör att man kan få applikationer att öppna och exekvera godtyckliga programbibliotek genom att exempelvis byta ut en DLL-fil mot en skadlig motsvarighet. För att kunna utnyttja bristen krävs det skrivrättigheter till den lokala disken eller en delad filarea som är åtkomlig via nätverket. Genom att begränsa åtkomst till filer externt via protokoll som SMB och WebDAV kan vissa typer av attacker förhindras.

Det är ännu inte känt vilka tredjepartsapplikationer som är sårbara men det är förmodligen ett stort antal. Microsoft själva undersöker för närvarande om några av deras egna produkter är påverkade av denna brist.

Detta gäller samtliga versioner av Windows (Windows 7, Vista, XP, Server 2003 & Server 2008).

Microsoft tillhandahåller ett verktyg som kan användas för att förhindra att bristen utnyttjas i sårbara applikationer: http://support.microsoft.com/kb/2264107.

Mer information:

http://www.microsoft.com/technet/security/advisory/2269637.mspx

http://blogs.technet.com/b/srd/archive/2010/08/23/more-information-about-dll-preloading-remote-attack-vector.aspx

http://isc.sans.edu/diary.html?storyid=9445