Ernstig DLL-lek in Windows...

Vragen over werken met Windows 7, 8, 8.1 en 10
Gesloten
clusenco

Ernstig DLL-lek in Windows...

Bericht door clusenco » 30 aug 2010 21:52

In de lijst met DLL-lekken staan diverse browsers, maar geen Internet Explorer, heeft die geen lek en is het daarom beter IE te gebruiken totdat bijvoorbeeld Firefox het lek gedicht heeft?
Zijn thuisgebruikers kwetsbaar, ook als ze geen draadloze router gebruiken?
Wat kan iemand zonder veel PC-kennis doen, om de risico's te beperken? Ik lees iets over een workaround van Microsoft, maar dat zal voor de huis-, tuin- en keukengebruiker wat ver gaan.

keyzer

Re: Ernstig DLL-lek in Windows...

Bericht door keyzer » 31 aug 2010 05:13

clusenco schreef:In de lijst met DLL-lekken staan diverse browsers, maar geen Internet Explorer, heeft die geen lek en is het daarom beter IE te gebruiken totdat bijvoorbeeld Firefox het lek gedicht heeft?
Zijn thuisgebruikers kwetsbaar, ook als ze geen draadloze router gebruiken?
Wat kan iemand zonder veel PC-kennis doen, om de risico's te beperken? Ik lees iets over een workaround van Microsoft, maar dat zal voor de huis-, tuin- en keukengebruiker wat ver gaan.
De bewuste dll-hijacking kwetsbaarheid heeft niks te maken met je router-draadloos of niet.
Het gaat om de manier waarop Windows applicaties toestaat om dll's te laden.
In de praktijk zou je kwetsbaar zijn als je een malafide bestand via een netwerk waarop bestanden worden gedeeld zou openen omdat er een malafide dll kan worden geladen vanuit een zgn working directory die op een network share staat. Sommige experts denken dat vooral uitgebreide bedrijfsnetwerken kwetsbaar zullen zijn.
Weer andere experts denken dat ook thuisgebruikers kwetsbaar zijn als ze bestanden zouden openen die aangeboden worden via links in e-mail, Instant Messengers e.d.
Een andere voorwaarde is natuurlijk dat je een kwetsbaar programma op je pc moet hebben staan.

Aangezien deze kwetsbaarheid niet per sé een Windowsprobleem is maar eerder een kwestie van slordige code in de software van derden, kan Microsoft er zelf weinig aan doen zonder potentieel een berg applicaties te breken; m.a.w MS zal waarschijnlijk geen update uitrollen om dit probleem te fixen.
Het is aan de beheerders om te beslissen of ze de door MS aangeboden fix toe willen passen en de softwaremakers om hun code te updaten. Inmiddels zie je dat laatste dat al in snel tempo gebeuren.

De huis-tuin-en keukengebruiker kan niets anders doen dan zorgen dat de geïnstalleerde applicaties up-to-date zijn. Een programma als Secunia PSI kan hierbij helpen.

Je kan verder de fix van MS downloaden en installeren; het betreft een toevoeging aan het register (specifiek: een DWORD-waarde CWDIllegalInDllSearch onder de sleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager)

Dit zal de manier waarop Windows dll's laadt veiliger maken; het sluit de eerder genoemde working directory uit als locatie waarin Windows naar een dll zoekt. Het is echter afwachten in hoeverre je applicaties door deze aanpassing worden beïnvloed. Het maken van een herstelpunt en/of register backup is dan ook geen overbodige luxe (zie waarschuwing verder in het bericht).

Een firewall/systeem-monitor combinatie z.a die van Comodo zou-denk ik- ook moeten aangeven als een dll via een omweg word geladen in een programma.
Het is echter aan de gebruiker om dit te herkennen als ongewenst gedrag.

Persoonlijk denk ik dat dit een storm in een glas water is. Gezien de snelheid waarmee de meeste softwaremakers met updates van hun applicaties komen zullen de meeste programma's binnen niet al te lange tijd zijn gepatcht. En dan is het wachten op de volgende hype.
Als je in de tussentijd met IE denkt te moeten surfen dan moet je dat gewoon doen. Persoonlijk zie ik geen reden vanwege dit dll probleem om kwetsbare software te mijden. Er zijn eenvoudigere manieren om een systeem te aan te vallen en dit is best wel een complexe manier om een systeem over te nemen.

Tot er in-the-wild concrete aanvallen via deze weg gaan plaatsvinden is het echter gissen naar de ernst en omvang van deze kwetsbaarheid.

Secunia PSI: http://secunia.com/vulnerability_scanning/personal/l
Microsoft fix: http://support.microsoft.com/kb/2264107 Let op: Deze fix is niet aan te raden voor de gemiddelde thuisgebruiker.
Maak eerst een herstelpunt of een backup van het register. Deze fix kan potentieel applicaties breken!

clusenco

Re: Ernstig DLL-lek in Windows...

Bericht door clusenco » 01 sep 2010 15:46

Dank je wel voor je verhelderende uitleg, Keizer, we zijn weer wat wijzer.

Gesloten