Caricamento di librerie DLL maligne: Microsoft risponde

Dopo il gran clamore suscitato in seguito alla scoperta della quale abbiamo dato notizia in questa pagina, Microsoft ha pubblicato alcune linee guida per difendersi da possibili attacchi aggiungendo che i tecnici dell’azienda stanno al momento verificando se la vulnerabilità coinvolge anche le applicazioni firmate dal colosso di Redmond.
Microsoft ha anche preparato un bollettino “ad hoc” (ved. questa pagina) con lo scopo di fornire alcuni approfondimenti sul tema ed alcune soluzioni per scongiurare eventuali rischi di aggressione.

“Non si tratta di una vulnerabilità insita in un prodotto Microsoft“, ha voluto precisare Christopher Budd, uno dei responsabili per la comunicazione del team MSRC (Microsoft Security Response Center), indicando che non si tratta di una “lacuna” del sistema operativo. “Si tratta di un attacco che, attraverso un espediente, forza un’applicazione al caricamento di una libreria insicura“, ha continuato. L’aggressore sfrutta la pratica sconveniente, utilizzata da alcuni programmatori nei loro software, che consiste nell’invocare una DLL senza specificarne l’esatto percorso. In tal modo, effettuando una richiesta “generica”, il sistema operativo provvede a “scandagliare” – come già evidenziato in questo articolo – una serie di cartelle sul disco, alla ricerca della libreria indicata. Microsoft non può rilasciare una patch per Windows dal momento che ciò potrebbe impattare negativamente sul funzionamento di centinaia di applicazioni. La strada da seguire sembra chiara: ciascuno sviluppatore dovrà correggere autonomamente il funzionamento dei propri software per Windows invocando le DLL in modo corretto.

Microsoft ha comunque deciso di mettere a disposizione le informazioni circa una chiave del registro di sistema (CWDIllegalInDllSearch) che può essere ad esempio utilizzata per bloccare il caricamento delle DLL da locazioni remote (unità USB, siti web, rete LAN e così via). Le informazioni – disponibili in questa pagina – sono state comunque rese di pubblico dominio a beneficio delle realtà aziendali escludendo gli utenti finali.

Come osserva Feliciano Intini, “se da un lato non si tratta di una nuova tipologia d’attacco, è nuovo il vettore che un aggressore potrebbe usare in modalità remota“. L’esperto, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, illustra anche la sequenza che potrebbe essere impiegata in eventuali attacchi: “l’aggressore crea dapprima un file di dati da far aprire all’applicazione vulnerabile insieme con una DLL “maligna”; li salva entrambi in una locazione condivisa in rete o WebDAV sotto il suo controllo; convince infine l’utente ad aprire il file di dati che induce l’applicazione a caricare la DLL pericolosa“.

I più “smaliziati” tra i nostri lettori possono scoprire autonomamente quali applicazioni sono affette dal problema relativo al caricamento delle librerie DLL. Basta infatti “armarsi” di un programma come Process Monitor e controllare le chiamate QueryOpen effettuate all’avvio di una certa applicazione. Noterete come in molti casi si tenti di aprire una DLL ricercandola prima nella directory di lavoro del programma, poi nella cartella di sistema di Windows e così via.