Si tratta di una vulnerabilita' vecchia di ben *10 anni*, segnalata di tanto in tanto in forma di singole vulnerabilita' di applicazioni windows (safari, ie7, itunes, ecc.), ma mai considerata fino alla radice della causa, cioe' l'API LoadLibrary().
Circa 10 anni fa George Guninski segnalava a MS: http://archives.neohapsis.com/archives/win2ksecadvice/2000-q3/0117.html E la risposta di MS era: "...our overall conclusion is that, although there are circumstances under which a trojaned .dll could be launched as discussed in the report, there isn't a compelling exploit scenario. Specifically, it would not be possible to launch a trojaned .dll simply by visiting a web site and opening an Office document -- instead, the user would need to take a series of deliberate steps that we believe would only occur as part of a social engineering attack. " E' strano vedere come a distanza di 10 anni certe opinioni possono cambiare. :) Certo oggi esiste WebDAV e altri fattori che rendono il tutto piu' pericoloso. Qualcuno sta testando o pensando di implementare il workaround di MS riportato in http://support.microsoft.com/kb/2264107 ? Sarei curioso di sapere quale valore di "CWDIllegalInDllSearch" risolve meglio il problema. La combinazione di valori piu' adatta sarebbe 1+2, ma pare che non sia possibile combinarli assieme. Il valore "0xFFFFFFFF" e' sicuramente il piu' efficace, ma troppo restrittivo e in alcuni casi blocca applicazioni come Outlook 2002 e 2003. Un workaround alternativo mediante SRP policy: http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/ Probabilmente ci vorranno mesi prima che tutte queste applicazioni vengano patchate. EF
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
