安全警报微软于8月23日推出的版本与发行商通常发布的版本不同。该缺陷不仅涉及运行内部操作系统的个人电脑。该漏洞被称为« DLL 预加载 »或者«二元种植»,也能影响Unix用户因为恶意代码通过安全性较差的应用程序传播。
损坏的函数库
要启动某些程序,请使用库。它包含可由多个应用程序使用的功能。 Microsoft 安全警报中描述的感染方法涉及用受感染函数库替换正确的 DLL(或 Unix 上的 .so)。所有这些同时使使用它们的程序相信它们正在使用真实的文件。«以便[传播]成功后,应用程序必须仅通过名称调用库,而不是使用其完整路径[指定其在计算机上的位置,编者注]»,微软在其帖子中详细介绍了这一点。
这个过程并不新鲜。但在那之前它一直在本地运营。最近,加州戴维斯大学计算机科学系的研究人员证明该技术可以在网络上使用。所有连接到 Internet 并使用浏览器等库的应用程序都可能容易受到此缺陷的影响。
据斯洛文尼亚公司 Acros Security 称,这种技术最近被用来感染 iTunes 用户。« 链接到 iTunes for Windows 上的虚假动态库允许攻击者下载恶意 DLL 并在本地驱动器或共享网络上运行它»,解释安全专家在一份详细描述这次袭击的声明中。
等待补丁时的工具?
在其公告中,微软似乎淡化了污染对其应用程序的影响。«我们正在继续调查,以查明这种新的污染媒介如何感染 Microsoft 产品。一如既往,如果发现这篇文章影响我们的任何产品,我们将做出适当的回应。» 在他们的学习中然而,加州研究人员统计出,雷蒙德出版商的 28 个常见软件程序中约有 1,700 个不安全 DLL。
与此同时,这家 IT 巨头正在提供下载一个工具阻止从 USB 密钥甚至网站加载远程目录中的 DLL。
为了限制潜在的感染风险,编辑建议更改DLL的名称潜在的脆弱性。甚至禁用 WebDAV 客户端(用于简化远程文件管理)在工作站上。对 WebClient 服务执行相同的操作。最后,微软认为有必要封锁TCP端口139和445防火墙。一系列新手计算机用户无法执行的激进措施。
