Một số thời gian trở lại đã có báo cáo về một vấn đề an ninh mà bị ảnh hưởng khoảng 40 ứng dụng Windows khác nhau. Microsoft đã nhanh chóng trả lời các báo cáo về các cuộc tấn công zero-day tiềm năng chống lại các chương trình Windows như vậy bằng cách xuất bản một bản cập nhật hoặc công cụ để chặn các khai thác đó. Tuy nhiên, Microsoft cũng làm rõ rằng lỗ hổng này không có trong Windows.
Công cụ chặn các cuộc tấn công tấn công chiếm đoạt DLL
Microsoft đã ban hành một tư vấn bảo mật (2269637) có tiêu đề, tải thư viện không an toàn có thể cho phép thực thi mã từ xa.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft cũng đã phát hành một bản cập nhật sẽ chặn việc tải các tệp DLL từ các thư mục từ xa, do đó ngăn chặn các tấn công DLL.
Bản cập nhật này giới thiệu một khóa đăng ký mới CWDIllegalInDllSearch cho phép người dùng kiểm soát thuật toán đường dẫn tìm kiếm DLL. Thuật toán đường dẫn tìm kiếm DLL được sử dụng bởi API LoadLibrary và API LoadLibraryEx khi các tệp DLL được tải mà không chỉ định đường dẫn đầy đủ.
Khi một ứng dụng tự động nạp một DLL mà không chỉ rõ một đường dẫn đầy đủ, Windows sẽ cố gắng định vị tệp DLL này bằng cách tìm kiếm thông qua một tập các thư mục được xác định rõ. Những bộ thư mục này được gọi là đường dẫn tìm kiếm DLL. Ngay sau khi Windows định vị DLL trong một thư mục, Windows sẽ tải DLL đó. Nếu Windows không tìm thấy DLL trong bất kỳ thư mục nào trong thứ tự tìm kiếm DLL, Windows sẽ trả về lỗi không cho hoạt động tải DLL.
Thêm chi tiết và tải xuống các liên kết tại KB2264107.
