Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/8/2010
Microsoft har indført en indstilling, som kan spærre for den sårbarhed i Windows-applikationer, der blev kendt for nylig.Sårbarheden ligger i den måde, applikationer finder frem til eksterne funktioner i DLL-filer (Dynamic Link Library). Windows søger som standard i blandt andet den aktuelle mappe, når en DLL-fil skal findes. Hvis en applikation ikke angiver den fulde sti til DLL-filen, men blot nævner dens filnavn, søger Windows efter den.
Hvis en angriber placerer en skadelig DLL-fil på en server og derefter narrer et offer til at åbne en uskadelig fil på serveren, kan han udnytte sårbarheden. Det kræver blot, at den applikation, der åbner filen, kalder en DLL med et navn, som angriberen kender.
Microsoft anbefaler, at udviklere altid angiver den fulde sti til en DLL. Hvis man ikke følger den anbefaling, kan ens applikation være sårbar.
Sårbarheden kan fx udnyttes, hvis der åbnes dokumenter fra den lokale harddisk, fra en USB-nøgle eller fra en server, som tilgås med Windows' fildeling (SMB/CIFS) eller WebClient (WebDAV).
Microsoft har indført en ny oplysning i registreringsdatabasen, der styrer, hvordan Windows søger efter DLL-filer. Ved at indføje en bestemt værdi kan man forhindre, at der søges efter DLL-filer i den aktuelle arbejdsmappe.
Sikkerhedsforsker H.D. Moore har udviklet et værktøj, som man kan bruge til at afgøre, om ens applikationer er sårbare.
Microsoft er nu ved at undersøge, om nogle af firmaets egne applikationer er sårbare. Endvidere samarbejder de med andre softwarehuse for at hjælpe dem med at lukke potentielle huller.
Anbefaling
Brug den nye nøgle i registreringsdatabasen til at ændre på søgning efter DLL-filer. Eller slå tjenesten WebClient fra.