x

Microsoft alerte sur une énorme faille dans la gestion des DLL

Publié le
 
Microsoft vient de tirer la sonnette d’alarme dans un bulletin de sécurité, alerte concernant la possibilité d'exécuter à distance du code arbitraire par le biais de fichiers DLL spécialement conçus pour ce type d’attaque. Et cette fois, des dizaines d’applications sont faillibles et la faille est exploitée.
Failles dans les DLL selon Microsoft
Dans les faits et pour expliquer le cheminement de l’attaque, quand une application charge une DLL sans spécifier un nom de chemin d'accès complet, Windows tentera de localiser la DLL par la recherche d'un ensemble défini de répertoires.

Comme l’explique Microsoft, ces ensembles de répertoires sont connus sous le nom de recherche de chemin d'accès de fichier DLL. Dès que Windows trouve le fichier DLL dans un répertoire, il le chargera. Si Windows ne trouve le fichier DLL dans aucun répertoire dans l'ordre de recherche de fichier DLL, l'opération de chargement de fichier DLL est un échec.

Les fonctions LoadLibrary et LoadLibraryEx sont utilisées pour charger des fichiers DLL de manière dynamique. Voici l'ordre de recherche de fichiers DLL pour ces deux fonctions :
- le répertoire à partir duquel l'application s'est chargée ;
- le répertoire système ;
- le répertoire système 16 bits ;
- le répertoire Windows ;
- le répertoire de travail actuel ;
- les répertoires qui sont répertoriés dans la variable d'environnement PATH.

Le problème est que plusieurs applications (logiciels) ne se servent pas du chemin absolu pour appeler les DLL au lancement de l’application, mais les appelle par leurs noms.

Une clé USB suffit pour provoquer l’attaque. Vous branchez une clé USB pour y lire un MP3 téléchargé sur Internet, avec un fichier caché correspondant à une DLL de iTunes. Un double clic sur le fichier MP3 suffit pour lancer la DLL « malicieuse », iTunes faisant partie de la longue liste des applications vulnérables.

Attendez-vous dans les prochaines heures à voir « déferler » une vague de mises à jour du côté de vos applications favorites, si ces dernières sont vulnérables (iTunes, VLC 1.1.3, Skype, Opera, Firefox, Thunderbird, Media player classic, Avast, Safari pour ne citer qu’eux)

Publicité


Microsoft propose une rustine temporaire afin de contrôler l'algorithme de recherche de chemin d'accès de fichier DLL :
Une nouvelle entrée de Registre CWDIllegalInDllSearch est disponible pour le contrôle de l'algorithme de recherche de chemin d'accès de fichier DLL

Il ne reste plus qu’aux éditeurs de logiciels de vérifier leurs codes pour remplacer les appels de DLL par leurs noms, par des appels par leurs chemins absolus.

En attendant, vérifiez si des mises à jour ne sont pas disponibles pour vos logiciels, si ces derniers ne vous les proposent pas de manière automatique.
 
chabot thierry
chabot thierry
Passionné par les ordinateurs depuis son premier PC-1512, il est l'auteur principal des articles concernant Internet, les OS et les moteurs de recherches. Il répond souvent sur les forums avec le pseudonyme Cthierry pour proposer des solutions.

Vous avez aimé cet article ? Partagez-le !
 
 
Les commentaires sont la propriété de leur auteur. Nous ne sommes pas responsables de leur contenu.

 
Publié: 26-08-2010 22:30
Webmaster
Rang MembreRang Membre
 
icone-tso Re: Microsoft alerte sur une énorme faille dans la gestio...
Il est plus compliqué pour un pirate d'essayer de remplacer une DLL dans windows / system32, tout simplement parce que la plupart des applis présentes sur Windows font appel à une adresse absolue pour ces DLL.

Le problème ne vient pas de l'appel des DLL mais de la manière dont ces dernières sont appelées pour être chargées (pour la faille elles sont appelés par leurs noms tout simplement).

Mais il est sur que cela va donner des idées aux pirates...

Quoiqu'il en soit, cette faille sera sûrement très exploitée, la plupart des internautes n'étant pas fichus de comprendre le besoin de mettre à jour leurs logiciels.

Et en plus :
Windows XP: Changing the standard search order by calling SetDllDirectory is not supported until Windows XP with SP1.
Windows 2000: Changing the standard search order by calling SetDllDirectory is not supported.
 
 
Publié: 26-08-2010 21:58
Rang Anonyme
Rang Anonyme
 
icone-tso Re: Microsoft alerte sur une énorme faille dans la gestio...
L'ordre indiqué ici est moins risqué, et n'est vrai que si l'on a spécifié la valeur safedllsearchmode. (sous XP).
http://msdn.microsoft.com/en-us/library/ms682586(VS.85).aspx
L'alerte est donc plus chaude qu'indiquée ici, car même les simples dll system sont susceptibles d'être remplacées ! ...