Re: [ml] Agosto=Ferie ma a nessuno stanno a cuore le DLL?
Ho scritto un post (http://geekinfosecurity.blogspot.com/2010/08/dll-hell-come-back-share-di-rete-in.html) in merito a questo nuovo (mica tanto) vettore di attacco. Io credo che una buona strategia per limitare il fenomeno possa essere quella riassunta dai passi qui di seguito: 1) assicurarsi che il SafeDllSearch sia abilitato su tutti gli host della rete; 2) utilizzare la KB (http://support.microsoft.com/kb/2264107) Microsoft per disabilitare il caricamento delle DLL su share di rete; 3) identificare le applicazioni che non sono di Microsoft; 4) nell'insieme precedente identificare le applicazioni aziendalmente più utilizzate; 5) analizzare il caricamento delle suddette applicazioni mediante ProcMon e identificare le applicazioni vulnerabili; 6) di tali applicazioni contattare gli sviluppatori per delle eventuali patch; 7) attendere che siano disponibili anche gli aggiornamenti dei diversi produttori (come Microsoft) che implementano il caricamento delle DLL in modo Safe Ovviamente è solo una proposta e anzi mi piacerebbe migliorarla anche con i vostri commenti. Di seguito al post c'è anche il link per una lista non ufficiale delle applicazioni che sono vulnerabili a questo vettore. Eccolo: http://www.corelan.be:8800/index.php/2010/08/25/dll-hijacking-kb-2269637-the-unofficial-list/ Roberto http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Agosto=Ferie ma a nessuno stanno a cuore le DLL?
Aggiungo che sanare le applicazioni affinché usino solo DLL in path trusted è un bagno di sangue. Bisogna enumerare tutte le applicazioni nei sistemi, capire quali DLL utilizzano e testarle dopo aver disabilitato il caricamento della DLL dalla directory corrente. Insomma una vera tragedia! Devo dire che l'attacco però è ingegnoso ed essendoci già tutto il necessario su Metasploit, immagino che nelle realtà aziendali qualcuno starà già facendo una bella incetta di materiale interessante :-) http://www.sikurezza.org - Italian Security Mailing List