Ένα γνωστό ζήτημα ασφάλειας (CVE-2016 – 0603) που επηρεάζει πάρα πολλές εφαρμογές, (από προγράμματα περιήγησης στο Web μέχρι προϊόντα antivirus, και ένα σωρό άλλες) μπορεί να αξιοποιηθεί “πειράζοντας” λίγο ένα .dll.
Η τεχνική ονομάζεται DLL side-loading ή hijacking και χρησιμοποιεί αρχεία DLL που έχουν το ίδιο όνομα με τα αυθεντικά σε συγκεκριμένες θέσεις στο σύστημα αρχείων του στόχου.
Αυτό το είδος της επίθεσης είναι πολύ παλιό και επιτρέπει την παραβίαση νόμιμων εφαρμογών ξεγελώντας τους χρήστες. Η τεχνική χρησιμοποιήθηκε πάρα πολύ από crackers λογισμικού. Ας πούμε, ένα crack για το Adobe Photoshop, που κυκλοφορεί χρόνια τώρα είναι το amtlib.dll.
Το συγκεκριμένο αρχείο, είναι αρχείο της εφαρμογής. Οι crackers όμως αλλάζοντας ένα μόνο byte, μπορούν να ενεργοποιήσουν το πρόγραμμα!
Φανταστείτε τι μπορεί να γίνει αν κάποιος κακόβουλος χρήστης, αντί να αλλάξει ένα byte για να ενεργοποιήσει το πρόγραμμα, προσθέσει στο .dll το δικό του κακόβουλο κώδικα….
Ακολουθεί μια μικρή (πιθανώς ελλιπής) λίστα των εφαρμογών που βρέθηκαν ευάλωτες σε αυτή την επίθεση: Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt, και το iTunes της Apple.
Τις ευπάθειες στα παραπάνω λογισμικά ανακάλυψε ο Γερμανός ερευνητής ασφαλείας Stefan Kanthak.
Ο κ Kanthak φαίνεται να έδωσε επίσης ιδιαίτερη προσοχή στους εγκαταστάτες λογισμικού προστασίας από ιούς. Παρακάτωυ πάρχουν μερικά από τα προϊόντα ασφαλείας που είναι ευάλωτα στο DLL hijacking: ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, ScanNowUPnP Rapid7, Kaspersky και F-Secure.
Όλες οι παραπάνω εφαρμογές (και ίσως και πολλές άλλες) θα πρέπει να κυκλοφορήσουν ενημερωμένες εκδόσεις για να προστατέψουν τα αρχεία τους από κακόβουλους χρήστες. Ας δούμε πόσο γρήγορα θα ανταποκριθούν.
Η μοναδική εταιρεία που ανταποκρίθηκε άμεσα ήταν η Oracle διορθώνοντας τους installers των εκδόσεων της Java 6, 7, και 8.
