Microsoft releases เครื่องมือเพื่อป้องกันการโจมตีการลักลอบใช้งาน DLL load

บางครั้งมีรายงานเกี่ยวกับปัญหาด้านความปลอดภัยที่ส่งผลกระทบต่อแอป Windows อีกกว่า 40 แอ็พพลิเคชัน Microsoft ได้ตอบสนองต่อรายงานดังกล่าวอย่างรวดเร็วเกี่ยวกับการโจมตีแบบ zero-day ที่อาจเกิดขึ้นกับโปรแกรม Windows ดังกล่าวด้วยการเผยแพร่อัปเดตหรือเครื่องมือเพื่อป้องกันการโจมตีดังกล่าว Microsoft ได้ออก Security Advisory (2269637) หัวข้อ "การโหลดไลบรารีที่ไม่ปลอดภัยอาจทำให้สามารถเรียกใช้งาน Remote Code Execution ได้"

"< Microsoft ทราบว่ามีการเผยแพร่งานวิจัยที่มีรายละเอียดเกี่ยวกับฟอนต์การโจมตีระยะไกลสำหรับคลาสของช่องโหว่ที่มีผลต่อการใช้งานไลบรารีภายนอก ปัญหานี้เกิดจากการตั้งโปรแกรมที่ไม่ปลอดภัยโดยเฉพาะซึ่งอนุญาตให้เรียกว่า "การปลูกแบบไบนารี" หรือ "การโจมตี DLL preloading" การปฏิบัติเหล่านี้อาจทำให้ผู้โจมตีสามารถประมวลผลโค้ดจากระยะไกลได้ในบริบทของผู้ใช้ที่ใช้งานโปรแกรมที่มีช่องโหว่เมื่อผู้ใช้เปิดไฟล์จากตำแหน่งที่ไม่น่าเชื่อถือ "

Microsoft ได้ออกการปรับปรุงที่จะบล็อกการโหลด DLL จาก รีสตาร์ทไดเรกทอรีเพื่อป้องกัน DLL Hijackings

การปรับปรุงนี้แนะนำคีย์รีจิสทรีใหม่ CWDIllegalInDllSearch ที่ช่วยให้ผู้ใช้ควบคุมอัลกอริทึมเส้นทางการค้นหา DLL อัลกอริธึมเส้นทางการค้นหา DLL ใช้โดย LoadLibrary API และ LoadLibraryEx API เมื่อมีการโหลดไฟล์ DLL โดยไม่ระบุเส้นทางที่มีคุณสมบัติครบถ้วน

เมื่อโปรแกรมประยุกต์โหลด DLL แบบไดนามิกโดยไม่ระบุเส้นทางแบบเต็มรูปแบบ Windows จะพยายามค้นหา DLL นี้โดย ค้นหาผ่านชุดไดเร็กทอรีที่กำหนดไว้อย่างชัดเจน ชุดไดเรกทอรีเหล่านี้เรียกว่าเส้นทางการค้นหา DLL ทันทีที่ Windows ค้นหา DLL ในไดเรกทอรี Windows จะโหลด DLL ดังกล่าว หาก Windows ไม่พบ DLL ในไดเร็กทอรีใด ๆ ในคำสั่งค้นหา DLL Windows จะส่งคืนความล้มเหลวในการดำเนินการโหลด DLL

รายละเอียดเพิ่มเติมและดาวน์โหลดได้ที่ KB2264107