DLL hijacking: Πόσα προϊόντα πλήττει;

Ένα γνωστό ζήτημα ασφάλειας (CVE-2016 – 0603) που επηρεάζει πάρα πολλές εφαρμογές, (από προγράμματα περιήγησης στο Web μέχρι προϊόντα antivirus, και ένα σωρό άλλες) μπορεί να αξιοποιηθεί “πειράζοντας” λίγο ένα ..broken chain

Η τεχνική ονομάζεται DLL side-loading ή και χρησιμοποιεί αρχεία DLL που έχουν το ίδιο όνομα με τα αυθεντικά σε συγκεκριμένες θέσεις στο σύστημα αρχείων του στόχου.

Αυτό το είδος της επίθεσης είναι πολύ παλιό και επιτρέπει την παραβίαση νόμιμων εφαρμογών ξεγελώντας τους χρήστες. Η τεχνική χρησιμοποιήθηκε πάρα πολύ από λογισμικού. Ας πούμε, ένα crack για το Adobe Photoshop, που κυκλοφορεί χρόνια τώρα είναι το amtlib.dll.olly DLL

Το συγκεκριμένο αρχείο, είναι αρχείο της εφαρμογής. Οι crackers όμως αλλάζοντας ένα μόνο , μπορούν να ενεργοποιήσουν το πρόγραμμα!

Φανταστείτε τι μπορεί να γίνει αν κάποιος κακόβουλος χρήστης, αντί να αλλάξει ένα byte για να ενεργοποιήσει το πρόγραμμα, προσθέσει στο .dll το δικό του κακόβουλο κώδικα….

Ακολουθεί μια μικρή (πιθανώς ελλιπής) λίστα των εφαρμογών που βρέθηκαν ευάλωτες σε αυτή την επίθεση: Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, , Nmap, Python, TrueCrypt, και το iTunes της Apple.
Τις ευπάθειες στα παραπάνω λογισμικά ανακάλυψε ο Γερμανός ερευνητής ασφαλείας Stefan Kanthak.

  Shotcut 22.06 open-source + cross-platform επεξεργαστής βίντεο

Ο κ Kanthak φαίνεται να έδωσε επίσης ιδιαίτερη προσοχή στους εγκαταστάτες λογισμικού προστασίας από ιούς. Παρακάτωυ πάρχουν μερικά από τα προϊόντα ασφαλείας που είναι ευάλωτα στο DLL hijacking: ZoneAlarm, Emsisoft Anti-, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, ScanNowUPnP Rapid7, Kaspersky και F-Secure.

Όλες οι παραπάνω εφαρμογές (και ίσως και πολλές άλλες) θα πρέπει να κυκλοφορήσουν ενημερωμένες εκδόσεις για να προστατέψουν τα αρχεία τους από κακόβουλους χρήστες. Ας δούμε πόσο γρήγορα θα ανταποκριθούν.

Η μοναδική εταιρεία που ανταποκρίθηκε άμεσα ήταν η Oracle διορθώνοντας τους  installers των εκδόσεων της Java 6, 7, και 8.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


48  +    =  56