DLL Hijacking

Hoy vamos a hablar de la vulnerabilidad de DLL Hijacking que se empezó a dilucir en el año 2000 por Georgi Guninski y que ha saltado recientemente a la palestra debido a la publicación de los artículos de Moore (el creador de Metasploit): Exploiting DLL Hijacking Flaws y su kit para encontrar aplicaciones vulnerables Better, Faster, Stronger: DLLHijaAuditKit v2.

Esta vulnerabilidad afecta a numerosas o quizás a la mayoría de las aplicaciones de Windows debido a que utilizan métodos inseguros para cargar DLLs (Dynamically Linked Libraries).

Cuando una aplicación mediante LoadLibrary() o LoadLibraryEx() intenta cargar funciones adicionales enlazando en tiempo real con una librería dinámica y no se especifica su ruta completa, Windows define como primer orden de búsqueda de la DLL el directorio actual del proceso: http://msdn.microsoft.com/en-us/library/ms682586%28v=VS.85%29.aspx.

Si un usuario abre un fichero legítimo mediante una aplicación afectada y en el mismo directorio se encuentra una DLL maliciosa (renombrada como la original), un atacante podría conseguir la ejecución de código arbitrario a través de la carga de esa librería modificada.

Veamos un ejemplo. Imaginemos que un atacante comparte un recurso en red en el que sitúa un video multimedia y una DLL maliciosa simulando tratarse de un códec. Cuando la víctima intenta reproducir el archivo, su media player no reconoce el formato del fichero e intenta cargar un códec desde el mismo directorio. En ese intento de reproducir el archivo, el reproductor cargará la DLL maliciosa y ejecutará el código del atacante.

Ahora buscar en Exploit Database y encontraréis "exploits dllhijacking" para aplicaciones como Power Point, Firefox, Visio, Adobe, Winamp, Google Earth, Photoshop, uTorrent, Wireshark, Acunetix, etc, etc, etc. Con esto podemos hacernos una idea de la facilidad de explotación de esta vulnerabilidad actualmente, así como los vectores de ataque existentes: SMB, ZIPs, WebDAV, pendrives...

¿Y qué podemos hacer para defendernos contra el DLL Hijacking? Pues nosotros recomendamos sobretodo modificar el comportamiento el algoritmo de ruta de búsqueda del archivo DLL que utilizan LoadLibrary y LoadLibraryEx mediante la clave de registro CWDIllegalInDllSearch (http://support.microsoft.com/kb/2264107).

Mientras esperaremos que los distintos fabricantes vayan parcheando sus aplicaciones ;-) (Microsoft ha publicado las guías para desarrolladores Dynamic-Link Library Security y Another technique for Fixing DLL Preloading attacks).

En resumen y para concluir, hablamos de una vulnerabilidad crítica debido a que:

afecta a un gran y todavía desconocido número de aplicaciones

su explotación es relativamente fácil o muy fácil y podría comprometer el sistema afectado (más aún si la aplicación vulnerable se ejecuta con un usuario con permisos administrativos)