Etter først å ha oppdaget en sårbarhet i Windows-utgaven av Apples iTunes, som Apple fjernet gjennom en oppdatering tidligere denne måneden, har det slovenske sikkerhetsselskapet Acros bekreftet at den samme typen sårbarhet også rammer den samme typen Windows-applikasjoner. Dette skjedde etter at HD Moore, sikkerhetssjef i amerikanske Rapid7, meldte om mye av det samme i en Twitter-melding på onsdag.
Sårbarheten er knyttet til hvordan Windows-applikasjoner søker etter dynamiske bibliotekfiler (DLL) i systemet. Det vanlige er at applikasjonene vil se etter DLL-filer også i den aktuelle arbeidsmappen, for eksempel en mappe som inneholder en et dokument eller en multimediefil som brukeren ønsker å åpne.
Dersom ondsinnede har greid å lokke brukeren til å laste ned en skadelig DLL-fil til en slik mappe, enten på sitt eget system eller til et delt filområde i bedriften, vil Windows-applikasjoner som tar i bruk en DLL-fil med det samme navnet kunne laste den skadelige DLL-filen i stedet for den opprinnelige filen. Dermed vil applikasjonen kjøre kode som kan gi angriperen full tilgang til systemet.
Dersom den angrepne maskinen befinner seg i et bedriftsnettverk og den skadelige filen inkluderer en spredningsmekanisme, kan den raskt bli kopiert til delte filserverområder og derfra ramme maskinen til andre som forsøker å åpne filer som ligger i den samme mappen.
Til The Register forteller Mitja Kolsek, administrerende direktør i Acros, at problemet kan vise seg å bli svært utfordrende å løse. Årsaken til dette er at Microsoft vanskelig kan endre hvordan applikasjoner søker etter DLL-filer uten å skape store kompatibilitetsproblemer.
Den mest nærliggende løsningen er derfor å fjerne sårbarheten fra hver eneste applikasjon som den berører.
Hvor mange det er snakk om, er uklart, men så langt skal Acros ha testet 220 applikasjoner, hvorav omtrent 200 viste seg å være rammet av sårbarheten som selskapet kaller for «the binary-planting bug».
– Vi regner med at det vil være mange flere. Vi har sett etter den typen sårbarheter som er utnyttbare ved at brukeren dobbelklikker på et dokument eller gjør et par ting med menyen, sier Kolsek til The Register.
Acros skal ha varslet Microsoft om problemet for omtrent fire måneder siden. Siden den tid har selskapene samarbeidet i det skjulte for å koordinere en fiks med de involverte partene, inntil noen lekket informasjon om problemet denne uken.
I tillegg til iTunes, er det så langt bare klart at tidligere utgaver av VMware Tools er rammet av det samme problemet. VMware skal ha fikset problemet i en relativt fersk oppdatering.
Acros ønsker ikke å gå ut med mer informasjon om hvilke applikasjoner og eventuelle Windows-komponenter som er berørt av problemet før en løsning er på plass. Men det er klart at mange av applikasjonene som har blitt testet, skal være fra store og kjente leverandører.
