微软8月23日发布了新的安全建议 (MSA2269637),提醒用户防范因应用程序采用不安全的DLL加载方式而导致的远程代码执行威胁,即“DLL劫持攻击”。攻击者只要成功诱导用户从一个不安全路径打开一个特殊构造的文件,即可触发运行用户计算机上存在问题的应用程序,进而远程执行任意代码。微软称其正在积极调查其公司开发的应用程序是否也受到影响。微软在安全建议中还发布了一个软件工具,以便系统管理员能够应用它改变整个系统或特定应用程序的DLL加载方式,从而减弱该安全问题所带来的威胁。
两名加州大学戴维斯分校的研究人员在今年早些时候发布的一篇论文显示,该漏洞一年前就已经被检测到。近日,Metasploit创始人HD Moore发表了有关该漏洞的详细信息,并把利用的方法有限地公布出来。
据分析,该漏洞的利用原理是首先编写一个类.dll文件,包括.dll import和export的调用过程,然后将这个文件扩展名改为可进行dll劫持的应用程序的扩展文件名,用户点击后就中招。目前,该攻击方式可能被广泛利用的方式是通过网盘或中小企业外部共享文件FTP进行传播。
目前,互联网上已经有人公布了大量存在问题的应用软件列表,CNVD工作委员会也接到知道创宇等成员单位的大量软件漏洞报告。CNVD建议广大用户应提高警惕并做好安全防范工作,具体防范措施如下:1)不访问不可信的远程文件系统,不打开不可信的文件;2)在防火墙或系统中禁用文件共享协议(SMB);3)采用微软安全建议中提供的软件工具;4)关注厂商主页,及时获取修补方案。
参考链接:
http://www.microsoft.com/technet/security/advisory/2269637.mspx
http://support.microsoft.com/kb/2264107
http://www.us-cert.gov/cas/techalerts/TA10-238A.html