Helaas, je zit er naast.


http://www.computerworld.com/s/article/9181518/Microsoft_releases_tool_to_block_DLL_load_hijacking_attacks

Linux net zo brak man, en die appel zit helemaal vol met lekken die zo nu en dan met 70+ patches komt

M.i. heeft Peter gelijk. De oorzaak van de bug is dat iemand bij Microsoft, niet gehinderd door enig inzicht in security en workability, ooit (win3.0 vermoed ik) heeft bedacht dat het "handig" zou zijn om de working directory in het DLL zoekpad op te nemen (de working directory is dat separate pad dat je bij snelkoppelingen kunt invullen, en dat door veel applicaties na opstarten overruled wordt met bijv. het pad waar je het laatst een bestand hebt opgeslagen). Uit beheeroogpunt wil je dit sowieso niet: een applicatie die iets anders doet (of een foutmelding geeft) als een gebruiker een andere werkdirectory instelt en een DLL niet gevonden wordt (of erger, een verouderde DLL wel).

Een bijkomstig (en m.i. secundair) probleem zijn applicatiebouwers die niet alle benodigde of gewenste DLL's bij de applicatie installeren (denk aan optionele plugins of taalmodules). Normaal gesproken zullen deze apps geen foutmelding geven als zo'n DLL niet gevonden wordt. Vervolgens kun je (in dit kader) 3 soorten applicatieprogrammeurs onderscheiden:

(1) Degenen die gewoon Windows laten zoeken naar dllnaam.DLL en zich daarbij totaal niet realiseren dat niet uitsluitend in de application directory (en eventueel in %PATH%) gezocht wordt, maar ook in de current aka working directory;

(2) Slimme programmeurs die een absoluut pad opgeven naar de optionele DLL (daar moeten ze wel een klein beetje extra code voor schrijven, nl. om de actuele applicatiedirectory te achterhalen);

(3) Mallotige applicatiebouwers (alleen bij Microsoft of ook bij anderen?) die gebruik zijn gaan maken van deze stompzinnige "feature", d.w.z. de applicatie aangepast laten reageren als een bepaalde DLL in een working directory wordt aangetroffen.

Kennelijk bestaat type 3 (naast -waarschijnlijk- bij Microsoft, ook bij andere partijen?), want Microsoft is er duidelijk als de dood voor dat applicaties ineens niet meer werken (waar ze ongetwijfeld voor gesued worden) na het uitbrengen van een patch die een securityprobleem goed oplost. Kennelijk worden ze niet (onvoldoende in elk geval) gesued voor het achterhouden van securitypatches...

De patch bestaat er namelijk uit dat je de "current directory" kunt uitsluiten bij het zoeken naar DLL's. Als je die patch draait en vervolgens, als afschrikmiddel, een registerwaarde aanpast, zullen applicaties van het type 3 niet goed meer werken (persoonlijk kan ik daar geen traan om laten).

Als Microsoft 10 jaar geleden serieus naar Georgi Guninsky had geluisterd, hadden ze toen kunnen aankondigen dat deze "feature" m.i.v. XP niet meer zou worden ondersteund, dan zouden we nu al deze problemen niet hebben gehad. In 2008 (zie http://blogs.msdn.com/b/david_leblanc/archive/2008/02/20/dll-preloading-attacks.aspx) heeft Microsoft nog wat gestunteld door nog wel in de current directory te kijken maar pas nadat andere mappen zijn geraadpleegd, hadden ze dit probleem toen maar once and for all opgelost.

Microsoft lijkt de de laatste tijd niets anders meer te doen dan, onder druk van op straat liggende exploits, stapje bij beetje problemen op te lossen waar ze al vele jaren geleden voor gewaarschuwd zijn. Doordat applicatiebouwers op al die onverstandige functionaliteiten zijn gaan vertrouwen en bouwen zitten we nu elke maand met steeds harder gebakken peren. Als consequentie hebben we nu weer een prima wormable vulnerability op netwerkdrives en USB-sticks. Kwestie van wachten op een Conficker opvolger...

Ik voorspel dat, niet eerder dan dat zo'n worm een boel bedrijfsnetwerken heeft lamgelegd, Microsoft alsnog met een automatic update zal komen die (zonder handmatige register tweaks en een benodigde licentie) definitief zal afrekenen met het zoeken naar DLL's in de working directory. En zo blijven we bezig met patchen.

Echter, gezien het feit dat onder XP ook nog steeds niet middels een automatic update voor XP met Autorun vanaf FAT/NTFS USB media is afgerekend, verwacht ik ook voor deze DLL-working-dir-vulnerability geen automatic update voor XP.... Handmatig patchen is hier het devies!

Aanvulling op m'n bovenstaande rant (niet gericht tegen SirDice maar tegen Microsoft die dit had kunnen voorkomen en nu ook nog alles bij elkaar liegt):Ja, laten we Microsoft op haar woord geloven.

Volgens http://www.attackvector.org/new-dll-hijacking-exploits-many/:
Windows Live Email DLL Hijacking Exploit (dwmapi.dll)
Microsoft Power Point 2010 DLL Hijacking Exploit (pptimpconv.dll)
* Outlook Express 6 (6.00.2900.2180) (mapi32x.dll)
* Windows Address Book (wab32res.dll)

Klinkt toch behoorlijk als Microsoft.... (en, for the record, Outlook Express en WAB werden meegeleverd met XP, of je het nou wou of niet, zijn dus ook nog een OS componenten).

Daar ben ik het opzich wel mee eens. Alleen begrijp ik MS haar standpunt wel. Ze zijn altijd al 'bang' geweest om compatibiliteit te verliezen. Wat dat betreft heeft Apple indertijd een behoorlijk risico genomen door OS-X totaal anders te maken in vergelijking met OS 8 en 9.

Het klopt dat het Microsoft software is. Ze zijn echter geen deel van het OS ook al werden ze meegeleverd. Je kunt ze namelijk zonder problemen verwijderen en dan werkt windows nog steeds zoals het hoort. (Internet Explorer is een heel ander verhaal, die is wel degelijk onderdeel geworden/geweest van het OS).

Een probleem wat mede ontstaan is omdat de Windows tak en de andere software tak niet zo heel veel met elkaar te maken hebben.

Een beetje een non-discussie maar Outlook Express wordt by default geinstalleerd met XP en je kunt het alleen verwijderen door in het control panel applet "Add or Remove Programs" naar "Add/Remove Windows Components" te gaan.

Microsoft heeft dat qua security schandalig slechte programma gewoon bij iedereen door de strot geduwd, je kunt het de doorsnee gebruiker niet verwijten dat ze dat ook zijn gaan gebruiken. Outlook Express heeft een flinke bijdrage geleverd aan het devualueren van e-mail als zinvol communicatiemiddel (denk alleen maar aan Nimda die je zelf in een andere thread noemde) en heeft daarbij voor heel veel admin-leed (o.a. verspilde tijd aan opruimwerkzaamheden) gezorgd.

Of je met het verwijderen van OE ook WAB automatisch verwijdert weet ik niet, een losse entry daarvoor kan ik niet vinden. Echter Windows Address Book suggereert bij mij iets dat onderdeel uitmaakt van het OS met dezelfde naam.

Het argument dat als je iets kunt verwijderen, het geen onderdeel van Windows zou zijn, houdt ook geen steek. Als je regedit en notepad verwijdert werkt Windows ook nog steeds gewoon. Sterker, het zou me niet verbazen als je meer dan 90% van de bestanden onder C:\Windows kunt weggooien (wel selectief te werk gaan natuurlijk) en dat daarna de core functionaliteit van Windows nog steeds werkt. Voor mij geldt: wat tijdens een OS install met default keuzes op je schijf belandt, maakt onderdeel uit van het OS.

In aanvulling op mijn post van gisteren (2010-08-24) om 19:01: ik heb een 4e categorie programmeurs over het hoofd gezien, namelijk die (mogelijk uit pure luiheid), zo te zien de current working directory (tijdelijk of de rest van de sessie) naar een map met extra benodigde DLL's laten wijzen.

In elk geval de programmeurs van MS Outlook 2002 en 2003 lijken zo te werk te zijn gegaan, zie de discussie in http://isc.sans.edu/diary.html?storyid=9445 te beginnen bij de bijdrage van anonymous, Tue Aug 24 2010, 19:51.

Een fix voor dit probleem is te vinden in http://www.security.nl/artikel/34260/1/Problemen_na_DLL-lek-patch_KB2264107_en_CWDIllegalInDllSearch%3DFFFFFFFF.html die ik zojuist aangemaakt heb.

Err.. Nimda deed 't ook prima als je Thunderbird of iets anders gebruikte, het was niet specifiek op OE gericht. In bepaalde gevallen zal Nimda echter automatisch gestart worden, dat gebeurde ook met Outlook en niet alleen met Outlook Express. Maar dat Outlook (Express ook) gewoon een rete slecht programma was/is ben ik het wel met je eens. Ik heb het, vanaf het begin af aan, nooit gebruikt. Noodgedwongen moet ik het nu op m'n werk gebruiken (Outlook dan, niet Express) en ik vind het nog steeds een verschrikkelijk ding.

Dat klopt. Daarom zijn ze ook geen onderdeel van het OS maar tools voor het OS. Subtiel verschil. (Notepad is overigens een 'voorbeeld' applicatie en is zeker geen onderdeel van het OS of zelfs een tool er voor).

Ongetwijfeld.

Voor mij niet.
Niks meer en niks minder.
http://en.wikipedia.org/wiki/Operating_system