L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Windows : exécution de code via DLL Preload

Synthèse de la vulnérabilité 

Un attaquant peut utiliser une DLL illicite afin de faire exécuter du code dans le contexte de l'application cible.
Produits impactés : Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows NT, Windows Vista, Windows XP.
Gravité de ce bulletin : 2/4.
Date de création : 25/08/2010.
Références de cette menace : 2269637, VIGILANCE-VUL-9879, VU#707943.

Description de la vulnérabilité 

Une application peut utiliser plusieurs bibliothèques DLL (Dynamic Link library).

Lorsqu'une application utilise une fonction d'une DLL, celle-ci est d'abord chargée via LoadLibrary(), puis la fonction est exécutée.

Si l'application ne précise pas le chemin de la DLL, Windows recherche la DLL à plusieurs endroits (répertoire courant, répertoire système, etc.) et charge la première trouvée. Lorsqu'une DLL illicite portant le nom cherché est située dans le chemin de recherche, elle est donc chargée avant la DLL légitime.

Un attaquant peut donc placer une DLL illicite sur un partage WebDAV ou SMB, et inviter la victime à ouvrir un document depuis ce site, afin de faire exécuter du code dans le contexte de l'application cible.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte de faille concerne les logiciels ou systèmes comme Windows 2000, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 7, Windows NT, Windows Vista, Windows XP.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de compte utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter ce bulletin cybersécurité.

Solutions pour cette menace 

Windows : contre-mesure pour DLL Preload.
Une contre-mesure générique pour Windows consiste à filtrer le chargement des DLL situées sur des sites distants, accessibles via WebDAV ou SMB. Microsoft propose un outil qui ajoute la clé CWDIllegalInDllSearch dans la base de registres, pour définir comment charger les bibliothèques :
  http://support.microsoft.com/kb/2264107
Une autre contre-mesure pour Windows consiste à bloquer WebClient ou les ports 139 et 445.
Les développeurs d'applications peuvent suivre les recommandations de Microsoft :
http://msdn.microsoft.com/en-us/library/ff919712%28VS.85%29.aspx
 - utiliser le chemin complet des DLL
 - utiliser SafeDllSearchMode
 - utiliser SetDllDirectory()
 - ne pas utiliser SearchPath()
 - etc.
Ainsi, leurs applications ne seront pas vulnérables, même si elles sont installées sur un système Windows vulnérable.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une contre-mesure de vulnérabilités logicielles. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.