Во вторник Symantec проинформировали своих клиентов о том, что устранили уязвимость в своих корпоративных продуктах, которая позволяла загрузить DLL.
Эта брешь в безопасности отслеживается под идентификатором CVE-2016-6590, о ней компании сообщил один из сотрудников, исследователь угроз, Himanshu Mehta. Недостаток затрагивает такие продукты как IT Management Suite (ITMS) 8.0, Ghost Solution Suite (GSS) 3.1 и Endpoint Virtualization (SEV) 7.x. Обновления были выпущены для каждого из уязвимых продуктов.
Согласно Symantec, уязвимые продукты не использовали абсолютный путь при загрузке DLL-файлов в процессе перезагрузки, либо загрузки системы. Это может привести к тому, что вредоносный DLL-файл может быть загружен до легитимного, что открывает возможность для выполнения произвольного кода, возможно, даже с повышенными привилегиями.
Для того чтобы эта атака сработала, злоумышленнику нужно каким-либо способом поместить на атакуемую систему вредоносный DLL-файл. Этого можно добиться, например, заставив пользователя самостоятельно загрузить этот файл, используя социальную инженерию или другие способы.
В операционной системе Windows приложения могут контролировать каталоги, из которых загружаются DLL, указав полный путь к файлу или с помощью других механизмов. Однако если приложение пренебрегает этими методами, операционная система включает стандартный поиск DLL в определенном порядке, чтобы найти требуемый файл.
В случае с десктопными приложениями, Windows сначала ищет DLL в каталоге, из которого загружается приложение. Некоторые исследователи отмечали, что такой механизм может представлять серьезную опасность, если инсталлятор запускается из папки «Downloads». Проблема в том, что все загруженные из Интернета файлы, как правило, сохраняются именно в этом каталоге, а это упрощает задачу злоумышленника.
В отличие от многих компаний, которые расценивают подобные уязвимости как не представляющие серьезной опасности, Symantecклассифицировали проблему в своих продуктах как «уязвимость высокой степени риска».
Эксперт Mehta ранее уже сообщал о подобных ошибках в продуктах девяти других вендоров. Однако не все из них были исправлены.
г. Казань: +7 (843) 2102505, [email protected]
г. Н. Новгород: + 7 (831) 2350036, [email protected]