कुछ समय पहले एक सुरक्षा मुद्दे के बारे में रिपोर्टें थीं जो लगभग 40 विभिन्न विंडोज ऐप्स प्रभावित करती थीं। माइक्रोसॉफ्ट ने इस तरह के शोषण को रोकने के लिए अद्यतन या टूल प्रकाशित करके ऐसे विंडोज प्रोग्रामों के खिलाफ संभावित शून्य-दिन के हमलों की रिपोर्टों को तुरंत प्रतिसाद दिया है। हालांकि माइक्रोसॉफ्ट ने यह भी स्पष्ट किया कि दोष विंडोज़ में नहीं है।
डीएलएल लोड अपहरण हमलों को अवरुद्ध करने के लिए उपकरण
माइक्रोसॉफ्ट ने एक सुरक्षा सलाहकार (2269637) जारी किया है, असुरक्षित लाइब्रेरी लोडिंग दूरस्थ कोड निष्पादन की अनुमति दे सकती है।
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
माइक्रोसॉफ्ट ने एक अद्यतन भी जारी किया है जो डीएलएल की रिमोट निर्देशिकाओं से लोडिंग को अवरुद्ध कर देगा, जिससे डीएलएल अपहरण को रोक सके।
यह अद्यतन एक नई रजिस्ट्री कुंजी CWDIllegalInDllSearch पेश करता है जो उपयोगकर्ताओं को DLL खोज पथ एल्गोरिदम को नियंत्रित करने की अनुमति देता है। DLL खोज पथ एल्गोरिदम का उपयोग LoadLibrary API और LoadLibraryEx API द्वारा किया जाता है जब पूर्णतः योग्य पथ निर्दिष्ट किए बिना डीएलएल लोड किए जाते हैं।
जब कोई एप्लिकेशन पूरी तरह योग्यता प्राप्त पथ निर्दिष्ट किए बिना गतिशील रूप से एक डीएलएल लोड करता है, तो विंडोज़ निर्देशिकाओं के एक अच्छी तरह परिभाषित सेट के माध्यम से इस डीएलएल को ढूंढने का प्रयास करता है। निर्देशिकाओं के इन सेटों को डीएलएल खोज पथ के रूप में जाना जाता है। जैसे ही विंडोज एक निर्देशिका में डीएलएल का पता लगाता है, विंडोज़ उस डीएलएल को लोड करता है। यदि Windows DLL खोज ऑर्डर में किसी भी निर्देशिका में DLL नहीं ढूंढता है, तो Windows DLL लोड ऑपरेशन में विफलता लौटाएगा।
KB2264107 पर अधिक जानकारी और लिंक डाउनलोड करें।
