Microsoft cảnh báo về chỗ bị tổn thương DLL trong các ứng dụng

Microsoftwarns of DLL vulnerability in applications

24 August 2010, 17:23

Theo:http://www.h-online.com/security/news/item/Microsoft-warns-of-DLL-vulnerability-in-applications-1064584.html

Bài được đưa lênInternet ngày: 24/08/2010

Lờingười dịch: “Kịch bản của cuộc tấn công này làhoàn toàn mới – cơ quan an ninh quốc gia Mỹ NSA đã cảnhbáo về vấn đề “lừa gạt DLL” trong “Chỉ dẫn vềAn ninh của Windows NT” của mình 12 năm về trước”.

Một tư vấn về anninh từ Microsoft cảnh báo về một lỗi lập trình lantruyền rộng mà có thể gây ra trong các ứng dụng chạymã độc đặc biệt trong các tệp DLL bị lừa đảo khi,ví dụ, một người sử dụng mở một ảnh trên một ổmạng. Dưới những điều kiện hoàn cảnh nhất địnhnào đó thì ứng dụng được cài đặt có thể sẽ tuầntự tải các thư viện chứa các mã độc từ thư mụcmạng này lên.

Theo sau sự phát hiệnvề vấn đề hành xử trong iTunes của nhà cung cấp dịchvụ an ninh Acros, lập trình viên HD của Metasploit Moore đãphát hiện khoảng 40 ứng dụng khác bị lây nhiễm bởivấn đề này. Theo Thierry Zoller, các chương trình bị lâynhiễm có cả Photoshop. Apple đã sửa lỗi này trong phiênbản 9.2.1 của iTunes, nhưng không rõ các ứng dụng nàokhác vẫn còn bị tổn thương.

Để bảo vệ chốnglại vấn đề này, Microsoft khuyến cáo kết thúc dịch vụWebDAV và sử dụng một tường lửa để khóa các kếtnối SMB ra bên ngoài. Hãng này cũng đã đưa ra một côngcụ mà có thể được sử dụng để chỉnh hành vi tìmkiếm khi tải các thư viện thông qua các thông tin đăngký. Một bài viết trên blog của Microsoft về TechNetSecurity Research & Defense đã đưa ra chi tiết các giátrị khóa đăng ký riêng rẽ.

Kịchbản của cuộc tấn công này là hoàn toàn mới – cơquan an ninh quốc gia Mỹ NSA đã cảnh báo về vấn đề“lừa gạt DLL” trong “Chỉ dẫn về An ninh của WindowsNT” của mình 12 năm về trước. Hơn nữa, Microsoftđã từng đôi lúc nói cho các lập trình viên cách đểtải các thư viện một cách đúng đắn. Tuy nhiên, rõràng nhiều ứng dụng đang không gắn tới các chỉ dẫnnày. Dường như nghi ngờ rằng một bản vá để giảiquyết vấn đề này cho tất cả sẽ được làm ra cùngmột lúc. Microsoft đã nói rằng không thể sửa đượcvấn đề này trực tiếp trong Windows, vì điều này cóthể gây ra trong việc hoạt động ghi thành tài liệu sẽkhông còn làm việc được như mong đợi nữa.

Asecurityadvisory f-rom Microsoft warns of a widespread programmingerror which can result in applications executing malicious codein specially crafted DLL files when, for example, a user opens animage on a network drive. Under certain circumstances the installedapplication could subsequently load libraries containing maliciouscode f-rom this network directory.

Followingthe discoveryof the problem behaviour in iTunes by security services providerAcros, Metasploit developer HD Moore found approximately 40 otherapplications affected by the issue. According to Thierry Zoller, theaffected programs includePhotoshop. Apple has fixedthe problem in version 9.2.1 of iTunes, but it's unclear which otherapplications remain vulnerable.

Toprotect against the problem, Microsoft recommends terminating theWebDAV service and using a firewall to block outbound SMBconnections. The company has also released a tool which can be usedto adjust search behaviour when loading libraries via registryentries. A poston Microsoft's TechNet Security Research & Defense blog detailsthe individual registry key values.

Thisattack scenario is not entirely novel – the NSA warnedof the problem of "DLL spoofing" in its "Windows NTSecurity Guidelines" 12 years ago. In addition, Microsoft hasbeen tellingdevelopers how to load libraries correctly for some time.Clearly, however, many applications are failing to adhere to theseguidelines. It seems doubtful that a patch to shut down this problemonce and for all will be produced. Microsoft has stated that it'simpossible to fix the issue directly in Windows, as this would resultin documented functionality no longer working as expected.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com