Skal demonstrere svært alvorlige Windows-hull

Utnytter iboende funksjonalitet i operativsystemet.

Problemene med Windows-funksjonaliteten hvor valgfrie bibliotekfiler (DLL) kan lastes av applikasjoner fra blant annet arbeidsmappen, er på ingen måte over. Problemet ble for alvor kjent i august i fjor, da det ble klart at hundrevis av Windows-applikasjoner aksepterer lasting av DLL-er på denne måten, i stedet for å kreve at DLL-ene ligger i en spesifikk systemmappe.

Problemet med dette er nærmere beskrevet i denne artikkelen og på denne siden hos Microsoft. Angrep som utnytter denne funksjonaliteten har gjerne blitt kalt for «DLL load hijacking». Sikkerhetselskapet Secunia har omtalt 192 ulike tilfeller av denne typen sårbarheter i ulike applikasjoner. Nesten samtlige varsler er utgitt fra og med august i fjor.

Microsoft har ikke kunnet gjøre noe med problemet, fordi en endring vil føre til at mye programvare vil slutte å fungere. Det har dermed blitt opptil den enkelte utgiver av Windows-applikasjoner å sørge for at sikkerhetsproblemet blir fjernet. Også Microsoft har i ettertid måttet endre flere egne applikasjoner og Windows-moduler som har hatt denne svakheten.

Men mye tyder at på at problemet på ingen måte er ute av verden.

Det slovakiske sikkerhetsselskapet Acros, som var blant de første til å komme med detaljer om DLL-problematikken i fjor høst, skal den 19. mai demonstrere nye måter å utnytte problemene på, under Hack in the box-konferansen i Amsterdam.

Acros skal der demonstrere hvordan ulike Windows-applikasjoner kan bli tvunget til å initialisere en sårbar COM-server og samtidig laste en ondsinnet DLL på Windows XP og nyere. Dette skal kunne gjøres blant annet i Word 2010, også beskyttet modus.

I tillegg skal Acros også vise fram hvordan denne teknikken kan utnyttes videre til å etablere det Acros kaller for et «binary planting»-angrep mot både IE8 på Windows XP og IE9 i beskyttet modus på Windows 7. Dette skal kunne gjøres uten behov for dobbeltklikking. Brukeren skal heller ikke på noen måte få noen sikkerhetsadvarsel fra operativsystemet.

Acros skriver i dette blogginnlegget om hvordan COM-severe brukes i Windows og hvordan dette på ulike måter kan utnyttes til å laste ondsinnede DLL-filer.

Ifølge Computerworld.com skal Microsoft ha bekreftet at selskapet nå studere disse nye angrepsmetodene.

    Les også:

Til toppen