Der zweite Beitrag im Virenbastelkurs dieses Monats befasst sich mit einer zur Zeit sehr beliebten Masche bei der über eine vorab geladene DLL die User einschließlich der Schutzsysteme überlistet werden.
Microsoft hat anscheinend auf Grund der vielfältigen Konfigurations- und daraus folgenden Fehlermöglichkeiten des Patches auf den beliebeten One Klick Button zu verzichten. Ist wohl wirklich nicht möglich es einigermaßen passend zu gestalten, ohne allzu viele wütende Kunden zur Konkurrenz zu treiben!
Jeder Programmierer weiß das die OS Ihre Daten auf einem vorgeschriebenen Weg suchen. mit Einführung der vielen Applikationen die inzwischen über das Web laufen, kam wohl irgendjemand die Idee, na dann kann ich ja auch DLLs des Zielsystems auf meinem Server aufrufen lassen. Im Zusammenhang mit dem ClickJacking kann dabei natürlich echt die Post abgehen,.dementsprechend bleibt folgerichtig nur eine vorherige starre Beeinflussung des Suchweges übrig.
Deshalb muß zum Schutz als erstes der DLL Suchpfad angepasst.
Ein neuer Registrierungseintrag "CWDIllegalInDllSearch" zum Steuern des DLL-Suchpfadalgorithmus ist verfügbar
Fachchinesisch
Dieses Update führt den neuen Registrierungseintrag CWDIllegalInDllSearch ein, mit dem Benutzer den DLL-Suchpfadalgorithmus steuern können. Der DLL-Suchpfadalgorithmus wird von der LoadLibrary-API und der LoadLibraryEx-API verwendet, wenn DLLs ohne Angabe eines vollqualifizierten Pfads geladen werden.
Genaue Erläuterung bei Microsoft:
http://support.microsoft.com/kb/2264107
am Ende der Seite muß im ersten Schritt als erstes der passende Patch für das OS des Zielrechners heruntergeladen und installiert werden.
Als Zweites muß das FixIT heruntergeladen und installiert werden.
bei Technet
An update on the DLL-preloading remote attack vector
http://blogs.technet.com/b/srd/archive/2010/08/31/an-update-on-the-dll-preloading-remote-attack-vector.aspx
Hinterher muß natürlich noch der/die schlaue Sysadmin das FixIt gut und passend zu konfigurieren, woran die meisten wohl scheitern werden. Was natürlich im Rückschluß ein richtig tolles Potential zur Verfügung stellt!
Bleibt nur zu Wünschen übrig, daß sich ein ausreichend dummer Hund findet, dieses Scheunentor im Sicherheitssystem zu stopfen!
Keine Kommentare:
Kommentar veröffentlichen