Microsoft alerte sur une énorme faille dans la gestion des DLL
Publié le
et mis à jour le
Rubrique Les Virus du Net
Microsoft vient de tirer la sonnette d’alarme dans un bulletin de sécurité, alerte concernant la possibilité d'exécuter à distance du code arbitraire par le biais de fichiers DLL spécialement conçus pour ce type d’attaque. Et cette fois, des dizaines d’applications sont faillibles et la faille est exploitée.
Dans les faits et pour expliquer le cheminement de l’attaque, quand une application charge une DLL sans spécifier un nom de chemin d'accès complet, Windows tentera de localiser la DLL par la recherche d'un ensemble défini de répertoires.
Comme l’explique Microsoft, ces ensembles de répertoires sont connus sous le nom de recherche de chemin d'accès de fichier DLL. Dès que Windows trouve le fichier DLL dans un répertoire, il le chargera. Si Windows ne trouve le fichier DLL dans aucun répertoire dans l'ordre de recherche de fichier DLL, l'opération de chargement de fichier DLL est un échec.
Les fonctions LoadLibrary et LoadLibraryEx sont utilisées pour charger des fichiers DLL de manière dynamique. Voici l'ordre de recherche de fichiers DLL pour ces deux fonctions :
- le répertoire à partir duquel l'application s'est chargée ;
- le répertoire système ;
- le répertoire système 16 bits ;
- le répertoire Windows ;
- le répertoire de travail actuel ;
- les répertoires qui sont répertoriés dans la variable d'environnement PATH.
Le problème est que plusieurs applications (logiciels) ne se servent pas du chemin absolu pour appeler les DLL au lancement de l’application, mais les appelle par leurs noms.
Une clé USB suffit pour provoquer l’attaque. Vous branchez une clé USB pour y lire un MP3 téléchargé sur Internet, avec un fichier caché correspondant à une DLL de iTunes. Un double clic sur le fichier MP3 suffit pour lancer la DLL « malicieuse », iTunes faisant partie de la longue liste des applications vulnérables.
Attendez-vous dans les prochaines heures à voir « déferler » une vague de mises à jour du côté de vos applications favorites, si ces dernières sont vulnérables (iTunes, VLC 1.1.3, Skype, Opera, Firefox, Thunderbird, Media player classic, Avast, Safari pour ne citer qu’eux)
Microsoft propose une rustine temporaire afin de contrôler l'algorithme de recherche de chemin d'accès de fichier DLL :
Une nouvelle entrée de Registre CWDIllegalInDllSearch est disponible pour le contrôle de l'algorithme de recherche de chemin d'accès de fichier DLL
Il ne reste plus qu’aux éditeurs de logiciels de vérifier leurs codes pour remplacer les appels de DLL par leurs noms, par des appels par leurs chemins absolus.
En attendant, vérifiez si des mises à jour ne sont pas disponibles pour vos logiciels, si ces derniers ne vous les proposent pas de manière automatique.
Comme l’explique Microsoft, ces ensembles de répertoires sont connus sous le nom de recherche de chemin d'accès de fichier DLL. Dès que Windows trouve le fichier DLL dans un répertoire, il le chargera. Si Windows ne trouve le fichier DLL dans aucun répertoire dans l'ordre de recherche de fichier DLL, l'opération de chargement de fichier DLL est un échec.
Les fonctions LoadLibrary et LoadLibraryEx sont utilisées pour charger des fichiers DLL de manière dynamique. Voici l'ordre de recherche de fichiers DLL pour ces deux fonctions :
- le répertoire à partir duquel l'application s'est chargée ;
- le répertoire système ;
- le répertoire système 16 bits ;
- le répertoire Windows ;
- le répertoire de travail actuel ;
- les répertoires qui sont répertoriés dans la variable d'environnement PATH.
Le problème est que plusieurs applications (logiciels) ne se servent pas du chemin absolu pour appeler les DLL au lancement de l’application, mais les appelle par leurs noms.
Une clé USB suffit pour provoquer l’attaque. Vous branchez une clé USB pour y lire un MP3 téléchargé sur Internet, avec un fichier caché correspondant à une DLL de iTunes. Un double clic sur le fichier MP3 suffit pour lancer la DLL « malicieuse », iTunes faisant partie de la longue liste des applications vulnérables.
Attendez-vous dans les prochaines heures à voir « déferler » une vague de mises à jour du côté de vos applications favorites, si ces dernières sont vulnérables (iTunes, VLC 1.1.3, Skype, Opera, Firefox, Thunderbird, Media player classic, Avast, Safari pour ne citer qu’eux)
Publicité
Microsoft propose une rustine temporaire afin de contrôler l'algorithme de recherche de chemin d'accès de fichier DLL :
Une nouvelle entrée de Registre CWDIllegalInDllSearch est disponible pour le contrôle de l'algorithme de recherche de chemin d'accès de fichier DLL
Il ne reste plus qu’aux éditeurs de logiciels de vérifier leurs codes pour remplacer les appels de DLL par leurs noms, par des appels par leurs chemins absolus.
En attendant, vérifiez si des mises à jour ne sont pas disponibles pour vos logiciels, si ces derniers ne vous les proposent pas de manière automatique.
Re: Microsoft alerte sur une énorme faille dans la gestio...
Le problème ne vient pas de l'appel des DLL mais de la manière dont ces dernières sont appelées pour être chargées (pour la faille elles sont appelés par leurs noms tout simplement).
Mais il est sur que cela va donner des idées aux pirates...
Quoiqu'il en soit, cette faille sera sûrement très exploitée, la plupart des internautes n'étant pas fichus de comprendre le besoin de mettre à jour leurs logiciels.
Et en plus :
Windows XP: Changing the standard search order by calling SetDllDirectory is not supported until Windows XP with SP1.
Windows 2000: Changing the standard search order by calling SetDllDirectory is not supported.