Microsoft uvolňuje nástroj k blokování útoků únosu zátěže DLl

Někdy zpět existovaly zprávy o problémech zabezpečení, které ovlivnily asi 40 různých aplikací systému Windows. Společnost Microsoft rychle reagovala na takové zprávy o potencionálních nulových dnech proti takovým programům systému Windows zveřejněním aktualizace nebo nástroje k blokování těchto zneužití. Společnost Microsoft vydala Poradce zabezpečení (2269637) s názvem Nesprávná knihovna načítání umožňuje vzdálené spuštění kódu

"

Společnost Microsoft si je vědoma publikování výzkumu s podrobným popisem vzdáleného vektoru útoku pro třídu zranitelných míst, která ovlivňuje způsob načítání aplikací externími knihovnami. Tento problém je způsoben specifickými nejistými programovacími postupy, které umožňují tzv. "Binární výsadbu" nebo "útoky předběžného načítání DLL". Tyto postupy by umožnily útočníkovi vzdáleně spouštět libovolný kód v kontextu uživatele, který spustil zranitelnou aplikaci, když uživatel otevře soubor z nedůvěryhodného umístění.

Společnost Microsoft také vydala aktualizaci, která zablokuje načítání DLL z vzdálené adresáře, čímž se zabrání zabírání DLL.

Tato aktualizace zavádí nový klíč registru CWDIllegalInDllSearch, který umožňuje uživatelům řídit algoritmus vyhledávání DLL. Algoritmus vyhledávací cesty DLL používá algoritmus LoadLibrary API a LoadLibraryEx API při načtení DLL bez zadání plně kvalifikované cesty.

Pokud aplikace dynamicky načte DLL bez zadání úplné cesty, Windows se pokusí lokalizovat tuto knihovnu DLL prohledávání přes dobře definovanou sadu adresářů. Tyto sady adresářů jsou známé jako cesta hledání DLL. Jakmile systém Windows najde DLL v adresáři, systém Windows načte tuto knihovnu DLL. Pokud systém Windows nenajde DLL v žádném z adresářů v pořadí vyhledávání DLL, vrátí systém Windows selhání operace načítání knihovny DLL

Další podrobnosti a odkazy ke stažení na KB2264107