Microsoft a publié un outil pointer-cliquer pour aider à protéger les fenêtres utilisateurs d’une large catégorie de menaces de sécurité qui découlent d’un mélange de comportements par défaut non sécurisés dans Windows et d’applications tierces mal écrites.
Mon explication de la raison pour laquelle c’est un gros problème peut sembler un peu geek et ésotérique, mais c’est une bonne idée pour les gens d’avoir une compréhension de base de la menace car un certain nombre d’exemples sur la façon d’exploiter la situation ont déjà été publiés en ligne . Les lecteurs qui préfèrent ignorer le diagnostic et passer directement au traitement peuvent cliquer ici.
Piratage de DLL
Windows s’appuie fortement sur de puissants morceaux de code informatique appelés « bibliothèques de liens dynamiques » ou DLL. Chacune de ces DLL exécute un ensemble spécifique de fonctions couramment utilisées, et elles sont conçues pour que Windows puisse partager ces fonctions avec d’autres programmes tiers qui peuvent vouloir les invoquer à leurs propres fins. De nombreuses applications tierces chargent ces DLL ou apportent les leurs lors de leur premier démarrage et souvent pendant qu’elles sont déjà en cours d’exécution.
En règle générale, les DLL sont stockées dans des emplacements clés, tels que le répertoire système Windows (ou System32) ou dans le répertoire à partir duquel l’application a été chargée. Idéalement, les applications indiqueront à Windows où trouver les DLL dont elles ont besoin, mais beaucoup ne le font pas.
Le risque de problème commence lorsqu’une application demande une DLL spécifique qui n’existe pas sur le système. À ce stade, Windows se lance à sa recherche – en cherchant d’abord dans les endroits clés mentionnés ci-dessus. Mais finalement, si Windows ne trouve pas la DLL là ou à quelques autres endroits, il cherchera dans le répertoire actuel de l’utilisateur, qui pourrait être le bureau Windows, un périphérique amovible tel qu’une clé USB ou un dossier partagé sur un réseau local ou distant.
Et bien qu’un attaquant puisse ne pas avoir l’autorisation d’écrire des fichiers dans le système Windows ou les répertoires de programmes, il peut être en mesure de fournir sa propre DLL malveillante à partir d’un répertoire de fichiers local ou distant, selon le Équipe américaine de préparation aux urgences informatiques.
Il y a plusieurs mois, les experts d’une société de sécurité slovène averti que des centaines d’applications tierces étaient vulnérables aux attaques à distance qui pourraient inciter ces applications à charger et exécuter des DLL malveillantes. Selon le Exploiter la base de données – qui a suivi les rapports confirmés d’applications vulnérables à cette attaque – les applications vulnérables incluent Messagerie en direct Windows, Windows Movie Maker, Microsoft Office PowerPoint 2007, Skype, Opéra, Joueur Médial Classique et uTorrentpour en nommer quelques uns.
Il y a environ une semaine, Microsoft a publié un outil de contournement pour aider les utilisateurs et les administrateurs système à atténuer la menace de tout cela en bloquant le chargement des DLL non sécurisées à partir d’emplacements de partage de fichiers distants et locaux. Mais l’outil n’était pas exactement conçu pour les utilisateurs à domicile : après l’installation et le redémarrage, vous deviez toujours définir manuellement une clé dans le registre Windows, une opération qui peut causer de graves problèmes à Windows si elle est effectuée de manière imprécise.
Mardi, Microsoft a un tout petit peu simplifié les choses en publiant l’un de ses outils « FixIt » pour corriger ce registre afin que les utilisateurs n’aient pas à s’y perdre. Le problème est que vous devez toujours avoir installé l’outil de contournement initial avant de vous pouvez installer cet outil FixIt pointer-cliquer.
Il est difficile d’évaluer si le piratage de DLL représente la même menace pour les utilisateurs à domicile que pour les utilisateurs des réseaux d’entreprise plus importants. Microsoft maintient que cette classe de vulnérabilité ne permet pas une attaque zéro-clic « driveby » ou « browse-and-get-owner », mais la scénarios d’attaque décrit par Redmond où un utilisateur Windows pourrait être possédé par cette attaque Probablement fonctionnerait contre la majorité des utilisateurs moyens de Windows.
Et même si cela peut prendre un certain temps aux développeurs d’applications tierces vulnérables pour corriger leur code, le correctif provisoire de Microsoft ajoute une mesure de protection. Si vous souhaitez profiter de cette protection, visitez ce lienfaites défiler jusqu’à Mettre à jour les informations puis cliquez sur le package correspondant à votre version de Windows. Installez le correctif et redémarrez Windows. Alors visitez ce lienpuis cliquez sur l’icône FixIt au centre de la page et suivez les invites d’installation.
Lecture complémentaire :
Une excellente rédaction sur ce de Centre de tempête Internet SANS gestionnaire d’incidents Bojan Zdrnja.
UNE Fil de discussion à ce sujet sur le forum de sécurité de DSL Reports.