Ho scritto un post (http://geekinfosecurity.blogspot.com/2010/08/dll-hell-come-back-share-di-rete-in.html) in merito a questo nuovo (mica tanto) vettore di attacco. Io credo che una buona strategia per limitare il fenomeno possa essere quella riassunta dai passi qui di seguito:
1) assicurarsi che il "SafeDllSearch" sia abilitato su tutti gli host della rete; 2) utilizzare la KB (http://support.microsoft.com/kb/2264107) Microsoft per disabilitare il caricamento delle DLL su share di rete; 3) identificare le applicazioni che non sono di Microsoft; 4) nell'insieme precedente identificare le applicazioni aziendalmente più utilizzate; 5) analizzare il caricamento delle suddette applicazioni mediante "ProcMon" e identificare le applicazioni vulnerabili; 6) di tali applicazioni contattare gli sviluppatori per delle eventuali patch; 7) attendere che siano disponibili anche gli aggiornamenti dei diversi produttori (come Microsoft) che implementano il caricamento delle DLL in modo Safe Ovviamente è solo una proposta e anzi mi piacerebbe migliorarla anche con i vostri commenti. Di seguito al post c'è anche il link per una lista non ufficiale delle applicazioni che sono vulnerabili a questo vettore. Eccolo: http://www.corelan.be:8800/index.php/2010/08/25/dll-hijacking-kb-2269637-the-unofficial-list/ Roberto ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List