VS waarschuwt vitale sector voor aanval via dll-bestanden


Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft de vitale sector in het land gewaarschuwd voor aanvallen via dll-bestanden, ook bekend als "dll hijacking" of "dll preloading". Het gaat hier om een kwetsbaarheid die al sinds 2010 bekend is.

Het probleem wordt veroorzaakt door de manier waarop Windows-applicaties dll-bestanden laden. Een groot aantal programma's zoekt ook in de geopende directory naar dll-bestanden die voor het uitvoeren van het programma nodig zijn. Een aanvaller die erin slaagt om een kwaadaardig dll-bestand in de directory van het programma te krijgen kan zodoende de gebruiker malware laten uitvoeren.

Dit zou een probleem in een ongecontroleerde locatie kunnen zijn, zoals de downloadmap van een browser. Als een aanvaller de gebruiker een kwaadaardig dll-bestand zou kunnen laten downloaden en de gebruiker vervolgens een ander programma direct vanuit de downloadmap uitvoert, wordt ook het kwaadaardige dll-bestand geladen. Onlangs lieten de ontwikkelaars van de populaire ssh-client PuTTY nog weten dat dit waarschijnlijker is dan het klinkt, aangezien sommige browsers het ooit hebben toegestaan dat websites zonder te vragen bestanden in de downloadmap konden plaatsen.

Het ICS-CERT merkt op dat het nog altijd veel meldingen over dit beveiligingslek ontvangt. "Dll-bestanden zijn een integraal onderdeel van de Windows-architectuur maar kunnen wanneer niet goed geïmplementeerd een aanvalsvector bieden", aldus de overheidsinstantie. Het ICS-CERT wijst naar richtlijnen van Microsoft voor het veilig laden van dll-bestanden en adviseert ontwikkelaars om die te volgen.

Bron: security.nl


<< Terug naar de nieuwslijst