Microsoft torna di nuovo sul problema "DLL hijacking"

Oltre una settimana fa, Microsoft aveva pubblicamente illustrato il suo punto di vista circa la possibilità, da parte di un aggressore, di sfruttare un errore di programmazione contenuto in decine e decine di applicazioni. La lacuna riguarda l’approccio utilizzato per il caricamento delle librerie DLL: in alcuni programmi (molti dei quali sviluppati dalle più note software house) viene i file DLL vengono invocati senza specificarne il percorso completo. In tal modo, Windows provvede a verificare la presenza del file richiesto all’interno di diverse locazioni (dapprima, la directory di lavoro dell’applicazione quindi, ad esempio, le cartelle di sistema e così via). Consultando i seguenti due articoli, potete ottenere maggiori informazioni sul problema:
– Una falla affligge decine e decine di applicazioni Windows?
– Caricamento di librerie DLL maligne: Microsoft risponde

I tecnici del colosso di Redmond sono però voluti tornare sul tema per liberare il campo da alcune valutazioni non corrette che stanno circolando in Rete. In primo luogo, Microsoft vuole rimarcare che le vulnerabilità scoperte in vari software e legate al caricamento delle librerie DLL esterne non espone gli utenti ad attacchi “drive-by download” (scaricamento automatico di elementi nocivi sul sistema in uso durante la navigazione sul web) né comporta rischi di aggressioni 0-click “browse-and-get-owned” (si usa quest’espressione per riferirsi all’infezione che si verifica quando viene visitata una pagina web “nociva”, senza cliccare su alcun oggetto; un po’ il “proof-of-concept” dell’attacco sferrato ai dispositivi iPhone con iOS 4.0.1 e precedenti). “Affinché la lacuna possa essere sfruttata“, scrive Microsoft, “è necessario che l’utente-vittima si connetta ad un server WebDAV maligno o ad un server SMB altrettanto pericoloso quindi faccia doppio clic su un file dannoso“.

In ogni caso, Microsoft ha rilasciato uno strumento che consente di abilitare, nelle varie versioni di Windows, l’utilizzo di una nuova chiave: CWDIllegalInDLLSearch. Essa consente, ad esempio, di impedire il caricamento delle DLL da locazioni “remote” (unità USB, siti web, rete LAN e così via).
Lo strumento che permette di attivare la chiave CWDIllegalInDLLSearch è scaricabile a questo indirizzo (da metà pagina in poi).

Il colosso di Redmond ha poi pubblicato uno speciale “Fix-it” (cliccare qui) che permette, una volta scaricato il “tool” precedente, di bloccare sul nascere qualunque tentativo di attacco “network-based”. Il “Fix-it” di Microsoft si incarica di impostare automaticamente a “2” il valore di CWDIllegalInDLLSearch (aggiunta, nel registro di Windows in corrispondenza della chiave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager). L’impostazione con il valore “2” dovrebbe scongiurare qualunque problema con la maggior parte delle applicazioni in circolazione.