Windows | Windows Server | Active directory | Exchange | SharePoint | SCCM | SCOM | Hyper-V | App-V
ACCUEIL Facebook Twitter Linked In Viadeo Flux RSS
Actualités suivantes

Actualités précédentes
Nouvel outil de diagnostic sur Office 365
Nombreux départ à Microsoft
Cortana aura du retard sur Android
Que vaut vraiment la Microsoft Surface 3?
Microsoft tente de réduire l'écart avec Sony


Publié le : 01/09/2010 08:21:59
Mise à jour le : 28/08/2010 12:05:23
Catégories :


Version imprimable

Auteur(s)

Microsoft contourne mais ne corrige pas la faille DLL

L'éditeur estime que la vulnérabilité est liée à une mauvaise programmation des applications Windows par les sociétés tierces. Beau joueur, il propose malgré tout quelques solutions de remédiation.

La semaine démarrait fort chez Microsoft, puisqu'une vulnérabilité connue sous le nom de « DLL preloding attack » avait été remontée, fin de semaine dernière, comme exploitable en environnement Windows (de XP Sp3 à W7 Entreprise), au travers d'applications développées par des éditeurs tiers. Assez triviale dans son approche, la technique vise à détourner les appels de librairies en masquant, derrière le même nom de fichier, un logiciel malveillant type cheval de Troie. Une technique qui part du principe que de nombreux concepteurs d'applications s'appuient sur l'algorithme de recherche automatique des DLL effectuées par les API Loadlibrary et LoalLibraryEx, s'épargnant ainsi la saisie complète du chemin vers la DLL. Un confort qui apparemment peut coûter cher.

Plusieurs façons de se protéger : Pour Microsoft, il s'agit plus ici d'une mauvaise qualification des appels de DLL que d'une vraie vulnérabilité. L'éditeur, ayant annoncé ne pas vouloir faire de patch, se retranche derrière des solutions de « bonnes pratiques » et prépare également une nouvelle campagne de sensibilisation auprès des sociétés de développement. On peut voir s'abattre depuis lundi, sur le site de la MSDN, une salve de documents traitant du bon usage des librairies. En plus de prendre le soin de ré-adresser les instructions vers les DLL, on y recommande également de désactiver Webdav et ses fonctions d'accès réseau. Dernièrement, Microsoft propose de récupérer une nouvelle clé de registre « CWDIllegalInDllSearch » destinée à accompagner les API Loadlibrary et LoadlibraryEx dans leur démarche de recherche automatique de DLL, tout en évitant les tentatives d'intrusion.

Pour HD Moore, ingénieur sécurité à l'origine de la découverte de la vulnérabilité, il y aurait actuellement une quarantaine d'applications exposées à la faille sur le marché. iTunes avait été patché par Apple quatre mois plus tôt pour fixer le problème. Steve Balmer et ses hommes sont aujourd'hui en pleine investigation afin de mettre la main sur les 39 manquants, HD Moore étant resté discret à leur sujet. A suivre...  (Source 01 net)