Beberapa waktu lalu ada laporan tentang masalah keamanan yang memengaruhi sekitar 40 aplikasi Windows yang berbeda. Microsoft telah dengan cepat menanggapi laporan-laporan dari potensi serangan zero-day terhadap program Windows tersebut dengan menerbitkan pembaruan atau alat untuk memblokir eksploitasi tersebut. Namun Microsoft juga mengklarifikasi bahwa cacat itu tidak ada di Windows.
Alat untuk memblokir serangan pembajakan beban DLL
Microsoft telah mengeluarkan Penasihat Keamanan (2269637) berjudul, Pemuatan Perpustakaan Tidak Aman Dapat Memungkinkan Eksekusi Kode Jarak Jauh.
“Microsoft is aware that research has been published detailing a remote attack vector for a class of vulnerabilities that affects how applications load external libraries. This issue is caused by specific insecure programming practices that allow so-called “binary planting” or “DLL preloading attacks”. These practices could allow an attacker to remotely execute arbitrary code in the context of the user running the vulnerable application when the user opens a file from an untrusted location.”
Microsoft juga telah merilis Pembaruan yang akan memblokir pemuatan DLL dari direktori jauh, sehingga mencegah Pembajakan DLL.
Pembaruan ini memperkenalkan kunci registri baru CWDIllegalInDllSearch yang memungkinkan pengguna untuk mengontrol algoritma jalur pencarian DLL. Algoritma pencarian jalur DLL digunakan oleh LoadLibrary API dan LoadLibraryEx API ketika DLL dimuat tanpa menentukan jalur yang sepenuhnya memenuhi syarat.
Ketika sebuah aplikasi secara dinamis memuat DLL tanpa menentukan jalur yang sepenuhnya memenuhi syarat, Windows akan mencoba mencari DLL ini dengan mencari melalui serangkaian direktori yang terdefinisi dengan baik. Kumpulan direktori ini dikenal sebagai jalur pencarian DLL. Begitu Windows menempatkan DLL dalam direktori, Windows memuat DLL itu. Jika Windows tidak menemukan DLL di salah satu direktori dalam urutan pencarian DLL, Windows akan mengembalikan kegagalan ke operasi beban DLL.
Lebih detail & unduh tautan di KB2264107.