In questi giorni HD Moore ha accennato qualcosa su una interessante vulnerabilità che coinvolge diverse applicazioni Windows, e apparentemente quasi tutti i sistemi operativi Microsoft. In realtà la vulnerabilità oggetto di discussione è stata messa in luce circa dieci anni fa da Georgi Guninski.
Di cosa si tratta? Quando viene invocato un modulo DLL senza utilizzare correttamente le Windows API LoadLibrary, ovvero senza indicare un percorso assoluto, il sistema procede con la ricerca della libreria partendo dal percorso in cui viene eseguita l’applicazione. Quindi, se il modulo è presente nella directory di lavoro a quest’ultimo viene assegnata la priorità.
In particolare è vivamente sconsigliato (agli gli sviluppatori) utilizzare la funzione SearchPath:
If an attacker has copied a malicious version of a DLL into the current working directory, the path retrieved by SearchPath will point to the malicious DLL, which LoadLibrary will then load.
Al momento il numero di applicazioni Windows vulnerabili non è ben definito, ma da alcuni test che ho eseguito personalmente grazie ai suggerimenti di HD Moore risulta che la vulnerabilità può essere sfruttata attraverso applicazioni presenti di default nel sistema o mediante pacchetti ad esso correlati.
A riguardo Microsoft ha appena rilasciato un Security Advisory, le istruzioni per mitigare il problema e un tool che introduce una nuova chiave di registro (CWDIllegalInDllSearch) per controllare l’algoritmo di ricerca delle DLL.
