DLL लोड इंजन (MSA2269637) में अवधारणात्मक भेद्यता

पिछले हफ्ते, Habré पर, उन्होंने HD मूर के बयान और इसे मिली भेद्यता के बारे में लिखा था , जो एमएस विंडोज के सभी संस्करणों पर काफी बड़ी संख्या में अनुप्रयोगों और कार्यों में निहित है। लेकिन सब कुछ बहुत अधिक गंभीर निकला, क्योंकि यह सिर्फ मिली भेद्यता के बारे में नहीं है, बल्कि गतिशील पुस्तकालयों को लोड करने के लिए तंत्र के डिजाइन में एक वैचारिक त्रुटि के बारे में है। इस संबंध में, कल Microsoft ने आधिकारिक रूप से सुरक्षा सलाहकार (2269637) जारी किया, जिसका अर्थ है कि इस भेद्यता की गंभीरता की आधिकारिक मान्यता। लेकिन चलो इस समस्या के सार को समझने की कोशिश करते हैं, क्योंकि यह LNK फ़ाइलों को लोड करने में हाल ही में मिली भेद्यता से कम गंभीर नहीं है।



भेद्यता यह है कि कई प्रोग्राम, जब लोडल्वार्ड्स () फ़ंक्शन को कॉल करते हैं, तो उस तरीके की शुद्धता को सत्यापित नहीं करते हैं जिसमें यह पुस्तकालय लोड किया जा सकता है। इस प्रकार, वे एक निष्पादन योग्य पुस्तकालय के प्रतिस्थापन की अनुमति देते हैं। यह इस तथ्य के कारण है कि लोड की गई लाइब्रेरी की खोज मुख्य रूप से निष्पादन योग्य फ़ाइल की छवि वाली निर्देशिका में की जाती है जो प्रक्रिया उत्पन्न करती है (प्रतिस्थापित लाइब्रेरी उस उपयोगकर्ता के विशेषाधिकारों के साथ चलाया जाता है जिन्होंने प्रक्रिया शुरू की थी)। उदाहरण के लिए, जॉर्जी गुनिंस्की ने इस भेद्यता के निम्नलिखित प्रदर्शन (PoC) का प्रस्ताव किया:



1) एक गतिशील पुस्तकालय के रूप में विकसित कोड का संकलन

2) परिणामी लाइब्रेरी को रिचड 20.dll में नाम बदलें और अपनी पसंद की किसी भी निर्देशिका में रखें

3) जांचें कि क्या एमएस ऑफिस सूट से खुले अनुप्रयोग हैं। और अगर वहाँ है, तो उन्हें बंद करें

4) MS Word दस्तावेज़ को उस निर्देशिका में Windows Explorer से उस पर डबल-क्लिक करके खोलें, जहां हमारा अमीर 20.dll रखा गया था



द्वारा और बड़े, इस तरह की एप्लिकेशन भेद्यता एक नया चलन नहीं है, और वे लंबे समय से ज्ञात हैं। उदाहरण के लिए, डेविड लेब्लांक ने 2008 में इस समस्या ( "डीएलएल प्रीलोडिंग अटैक्स" ) के बारे में लिखा था। एक और बात यह है कि समस्या अभी भी मौजूद है और इस तरह से कमजोर होने वाले अनुप्रयोगों की संख्या अभी भी बहुत बड़ी है। सबसे खराब और सबसे आश्चर्यजनक बात यह है कि प्रतिस्थापन न केवल स्थानीय रूप से स्थित DLL में किया जा सकता है, बल्कि दूरस्थ रूप से स्थित पुस्तकालय को लोड करने के लिए भी किया जा सकता है। इस सुविधा को प्रदर्शित करने के लिए एक उदाहरण आईट्यून्स के लिए भेद्यता थी, जो नेटवर्क संसाधनों से मीडिया फ़ाइलों को खोलते समय, उसी नेटवर्क स्टोरेज से डायनेमिक लाइब्रेरी लोड कर सकता था। सफल संचालन के लिए, आपको केवल नेटवर्क संसाधन के लिए एक SMB या WebDAV पथ बनाना होगा (उदाहरण के लिए, यह: \\ सर्वर \ Movies \) और इसलिए जब आप फ़ाइल प्रारंभ करते हैं, तो जिस डायनामिक लाइब्रेरी को हम निष्पादित करना चाहते हैं, वह उसी निर्देशिका में स्थित थी। इस तरह के हमलों को अंजाम देने के लिए, मेटासप्लोइट परियोजना के हिस्से के रूप में एक सार्वभौमिक कारनामे को पहले ही लागू किया जा चुका है (उपयोग का एक उदाहरण यहां वर्णित है )।



अब बात करते हैं कि इससे क्या करना है और हमारे कार्यक्रमों में इससे कैसे बचा जाए। सबसे अधिक संभावना है, डेवलपर्स को इस भेद्यता को बंद करने में बहुत समय लगेगा, क्योंकि भेद्यता गतिशील लाइब्रेरी इंजन इंजन की वास्तुकला में निहित है। और मौजूदा सॉफ़्टवेयर के प्रदर्शन को प्रभावित किए बिना इसे बंद करना इतना सरल नहीं होगा। तो, सबसे पहले, डेविड लेब्लांक के सेफलोएडलाइड्स () फ़ंक्शन का कार्यान्वयन और एमएस से सर्वोत्तम अभ्यास हैं :



HMODULE SafeLoadLibrary(const wchar_t* wzFileName)

{

static wchar_t wzSystem[MAX_PATH];

wchar_t wzCurDir[MAX_PATH];

HMODULE hMod = NULL;

if(wzSystem[0] == L'\0')

{

if(GetSystemDirectory(wzSystem, _countof(wzSystem)) == 0)

return NULL;

}



// Now get the actual current working directory

if(GetCurrentDirectory(_countof(wzCurDir), wzCurDir) == 0)

wzCurDir[0] = L'\0';

SetCurrentDirectory(wzSystem);

hMod = LoadLibrary(wzFileName);

SetCurrentDirectory(wzCurDir);

return hMod;

}







कमजोर अनुप्रयोगों और एमएस से सिफारिशों की खोज के लिए Rapid7 / HDmoore द्वारा बनाई गई एक DLL अपहरण ऑडिट टूल उपयोगिता भी है।