金曜日, 9月 03, 2010

【zeroday】Microsoft 「DLLハイジャック」セキュリティ問題について


Microsoft OS「DLLハイジャック」のセキュリティ問題がつい最近結構話題になりました。今現在200件以上の「DLLハイジャック」セキュリティ問題がレポートされております。

本問題についてWindows OSのDLLのロード仕方と思われます。DLLファイルパースが書いて無い場合OSは自動でOSで決められたパースでDLLを検索し、DLLが見つかったら直ぐにロードされてしまいます。
残念ながら本問題はMicrosoft社からのセキュリティパッチで解決が出来無いかと思われます。何故なら、本件の問題について色んなDLLロード仕方、DLLソースの書き方、アプリケーションのDLLセキュリティ・レベル対OSセキュリティレベルの関係が強く出来てしまいまして、DLLの提供仕方とOSメーカの連携で解決方法を考えておくべきです。

Microsoft Security Response Centerより本問題について長いコメントが出ました、アクセスはこちらです。下記は少しコメントのポイントだけでコーピーしました↓
「 Loading dynamic libraries is basic behavior for Windows and other operating systems, and the design of some applications require the ability to load libraries from the current working directory. Hence, this issue cannot directly be addressed in Windows without breaking expected functionality. Instead, it requires developers to ensure they code secure library loads. However, we’re looking into ways to make it easier for developers to not make this mistake in the future.
Microsoft is also conducting a thorough investigation into how this new vector may affect Microsoft products. As always, if we find this issue affects any of our products, we will address them appropriately.」
(↑ようは、直ぐには直せませんと言ってます。)

本問題の一次対応についてMicrosoft社はDLLの動きを確認が出来る様にソフトをリリースしました、「DLL 検索パス アルゴリズムを制御する新しい CWDIllegalInDllSearch レジストリ エントリについて」とのアドバイサリーに情報の確認が出来ます。

今現在200件のDLLセキュリティ問題が登録されており、半分位ウェブで再現コードを交換されている状況、例えばこのサイトとか…大体60件位本問題の再現コードが発見しました、さらにMicrosoft社より本件セキュリティ問題についてセキュリティ・クリティカル問題と思われません(こちらへMicrosoft社の回答は確認が出来ます

私達、セキュリティ立場から見ますと、本件のセキュリティ問題は一つゼロデイ問題になります。このバグ情報を使っているマルウェアが出るタイミングは只の時間の問題です。

では、皆様のパソコンのDLLが大丈夫かど確認方法があります、セキュリティ・オープンソースより「DLLHijackAuditKit v2」のスキャンソフトが出ました。リンクはこちらです。このツールを使えばパソコンのDLL問題があるか無いかと確認が出来ると思います。私は時間が出来たら簡単な遣い方を今度書きます。

---
http://0day.jp
ゼロデイ・セキュリティリサーチ
アドリアン・ヘンドリック

0 件のコメント:

コメントを投稿