Imagem: Copyright(C) Softpedia, todos os direitos reservados
Imagem: Copyright(C) Softpedia, todos os direitos reservados
Uma vulnerabilidade de graves proporções está sendo ignorada pelos maiores distribuidores de software na WWW. O pesquisador alemão Stefan Kanthak vem tentando avisar as empresas sobre o problema, mas por enquanto vem sendo solenemente ignorado.

O chamado sequestro de DLL’s acontece porque o Windows procura pelas bibliotecas por nome, partindo de um certo caminho que, normalmente, inicia com a localização atual do programa. Esse exploit é dificultado no UNIX visto que o caminho “.” que representa o diretório atual raramente é incluso no PATH. E quando é, é considerado um problema na configuração atual da máquina.

De volta à falha: digamos que um software utilize uma DLL chamada VC5.DLL. Caso exista uma biblioteca com esse mesmo nome, maliciosamente copiada para o caminho de buscas do instalador, ela será carregada no lugar da original. A estratégia do invasor é compilar seu próprio código e dar-lhe o nome VC5.DLL para obter controle da conta atual do computador. Como está sendo feita uma instalação, frequentemente essa conta tem poderes administrativos sobre a máquina. Dessa forma o exploit se instala de forma permanente. Após instalar o malware no computador, a DLL devolve o comando para a DLL correta e o usuário não percebe que foi invadido.

Entre os softwares que tem instaladores vulneráveis temos: Firefox, Google Chrome, Adobe Reader, 7Zip, WinRAR, OpenOffice, VLC Media Player, Nmap, Python, TrueCrypt e o iTunes. O elenco de programas vulneráveis a esse ataque após instalados surpreende ainda mais, por incluir famosos programas de segurança: ZoneAlarm, Emsisoft Anti-Malware, Trend Micro, ESET NOD32, Avira, Panda Security, McAfee Security, Microsoft Security Essentials, Bitdefender, Rapid7’s ScanNowUPnP, Kaspersky e F-Secure. (Fonte: Slashdot)

Destaque para a Oracle que já corrigiu o problema nos instaladores Java.

Referências

Vulnerabilidade: CVE-2016-0603

Oracle patches Java installer against DLL hijacking issue