A fine agosto scorso era tornato d’attualità, in ambiente Windows, il problema conosciuto col nome di “DLL hijacking“. Si tratta di una tecnica d’attacco, nota da anni, che può essere sfruttata da un aggressore per eseguire codice potenzialmente dannoso sul personal computer dell’utente semplicemente inserendo un file “ad hoc”, per esempio, nella directory di lavoro di un’applicazione vulnerabile.
L’aggressore sfrutta la pratica sconveniente, utilizzata da alcuni programmatori nei loro software, che consiste nell’invocare una libreria (DLL) senza specificarne l’esatto percorso. In tal modo, effettuando una richiesta “generica”, il sistema operativo provvede a “scandagliare” – come già evidenziato in questo articolo – una serie di cartelle sul disco, alla ricerca del file indicato. Microsoft non può rilasciare una patch per Windows dal momento che ciò potrebbe impattare negativamente sul funzionamento di centinaia di applicazioni. La strada da seguire sembra chiara: ciascuno sviluppatore dovrà correggere autonomamente il funzionamento dei propri software per Windows invocando le DLL in modo corretto.
In questo nostro articolo eravamo andati ancor più in profondità presentando la possibilità, ad esempio, di utilizzare un software come Process Monitor. Dopo aver avviato un certo programma, si potrà verificare in quali cartelle vengano via a via ricercati i file necessari per il suo funzionamento.
Sebbene Microsoft abbia risolto la lacuna di sicurezza in molti suoi prodotti, secondo Acros Security – un’azienda slovena specializzata nel campo della sicurezza informatica – sia Windows 7 che Internet Explorer 9 sarebbero ancora esposti al problema del “DLL hijacking“.
Mentre il colosso di Redmond ha già confermato di aver messo i suoi tecnici al lavoro per verificare le nuove segnalazioni pervenute da Acros, i ricercatori della società hanno voluto anticipare che dimostreranno l’esistenza delle “inedite” superfici d’attacco nel corso di un evento che si terrà ad Amsterdam nelle prossime settimane.
“Mostreremo come Internet Explorer 8 ed Internet Explorer 9 possano essere sfruttati, in Windows 7, Vista e XP, per aggredire il sistema degli utenti senza che venga esposto alcun messaggio d’allerta“, ha dichiarato il CEO di Acros, Mitja Kolsek, aggiungendo di utilizzare – come vettore per gli attacchi – dei documenti malevoli realizzati in formato Word 2010 o PowerPoint 2010.
HD Moore, celebre esperto in materia di sicurezza, ha giudicato come realistica la segnalazione di Acros: “gli aggressori potrebbero usare dei controlli COM integrati all’interno di documenti Office per caricare DLL addizionali“, ha osservato il ricercatore.