Microsoft 'Fixt' Windows DLL-lek
Microsoft heeft voor het omvangrijke DLL-lek dat in talloze Windows applicaties aanwezig is een fix uitgebracht, waarmee gebruikers eenvoudig het probleem kunnen verhelpen. Volgens Jerry Bryant van het Microsoft Security Response Center zal Microsoft het probleem in de eigen software via beveiligingsupdates en 'defense-in-depth updates' verhelpen. Daarnaast heeft instructies voor andere leveranciers online gezet, waardoor die het probleem in hun applicaties kunnen verhelpen.
"Ondanks dit advies, beseffen we dat het vrij lang kan duren voordat alle getroffen applicaties gepatcht zijn en in sommige gevallen is een update misschien niet mogelijk", zegt Bryant. De softwaregigant had eerder al een tool uitgebracht om het zoekalgoritme naar DLL-paden aan te passen, maar gebruikers moesten dit na installatie nog steeds zelf configureren. Daarom is er nu naast deze uitgebreide beschrijving ook een Fix-it tool online verschenen, die de meeste netwerk-gebaseerde aanvalsvectoren blokkeert. Bryant maakt duidelijk dat gebruikers EERST de tool moeten installeren voordat ze de Fix-it oplossing kunnen gebruiken.
Belangrijk
Daarnaast biedt de Fix-it tool alleen bescherming tegen DLL-preloading en niet tegen .exe bestanden die bestanden op de verkeerde manier zonder volledig opgegeven pad laden. Dat probleem is aan de ontwikkelaars van de betreffende applicaties, aldus Bryant. Volgens Security.nl lezer BitWiper worden door de fix DLL hijacking aanvallen op WebDAV en netwerk-drives voorkomen, maar niet op lokale drives, waaronder USB-sticks.
Aangezien Windows gebruikers bij de meeste aanvallen eerst verschillende waarschuwingen en vensters moeten sluiten voordat ze het kwaadaardige bestand kunnen openen, beschouwt Microsoft het probleem grotendeels als "important" en niet als "critical".
Hoewel een volledig gepatched XP SP3 systeem nog steeds autorun vanaf FAT/NTFS partities op USB sticks toestaat, kun je je daar betrekkelijk eenvoudig tegen beschermen. Helaas geldt dat niet voor deze "DLL-issue".
Door niet de Fix-It te gebruiken maar handmatig de waarde 0xFFFFFFFF aan de registervariabele CWDIllegalInDllSearch toe te kennen, ben je wel beschermd tegen het onbedoeld laden van kwaardaardige DLL's op USB memory devices, maar dat heeft tot gevolg dat allerlei applicaties niet goed meer werken. Dit is o.a. bekend van Outlook, maar bijv. bij Kaspersky "anti-virus for workstations" werkt de ingebouwde helpfunctie niet meer met deze (voor de DLL issue meest veilige) instelling.
N.b. bij USB memory devices moet je naast memory sticks ook denken aan denk ook aan smartphones, MP3-spelers, foto-displays, geheugenkaartjes voor fototoestellen etc. (welke op het moment van aanschaf al besmet kunnen zijn). Niet ondenkbaar is dat malware die een smartphone heeft gecompromitteerd zichzelf op Windows PC's via deze route verder probeert te verspreiden.
Kaspersky Internet Security 2011 (laatste versie) werkt overigens wel.
Als je bijv. het settings window opent en op help klikt, verschijnt een dialoogbox met in de caption "RUNDLL" en daaronder de melding:
The specified module cannot be found.
Dat is natuurlijk een stuk safer dan voor de betreffende app een CWDIllegalInDllSearch-uitzondering maken zoals Microsoft suggereert.
Aanvulling#1, vooral als je aan het testen bent wat er de oorzaak van is dat iets niet meer werkt: i.p.v. steeds een herstelpunt terugdraaien kun je veel sneller regedit opstarten (met adminrechten), naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager gaan, en de waarde van CWDIllegalInDllSearch wijzigen in ofwel 0 (zelfde als herstelpunt terugdraaien), 1 (alleen WebDAV protectie), 2 (zowel WebDAV als netwerkdrive-protectie, dit is wat de Fix-It -naar verluidt- doet), of 0xFFFFFFFF: dan ben je optimaal beschermd maar kun je de meeste problemen verwachten.
Aanvulling#2: ik vind het wel heel opmerkelijk dat je last hebt met Outlook t.g.v. de waarde 2. Heb je soms (delen van) Outlook/Office op een netwerkdrive geinstalleerd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.