Nyheder
ESET's kunderådgivning 2016-0001
19. februar 2016
Alvorlighed: Kritisk
Opsummering
ESET har implementeret modforanstaltninger for at forhindre DLL Search Order-angreb mod EXE-installationsprogrammerne til flere Windows-produkter, og listen kan findes i afsnittet Berørte programmer og versioner nedenfor.
Før implementeringen af disse modforanstaltninger kunne ESET-installationsprogrammer have været sårbare over for DLL-forudindlæsning ved hjælp af forhøjede privilegier opnået ved at udnytte denne DLL Search Order-sårbarhed. Dette kunne være opnået ved at placere en specielt udformet DLL-fil i samme mappe som installationsprogrammet før installationen. Selvom det kan virke som et usandsynligt scenarie, køres installationsprogrammer ofte fra den "downloads"-mappe, der bruges af webbrowseren, og som kan indeholde DLL-filer, der er downloadet af brugeren.
ESET er ikke bekendt med, at denne fejl bliver udnyttet aktivt i naturen.
Afbødningerne i disse hotfixes vil snart blive erstattet af mere omfattende løsninger.
Løsning
Hvis du allerede har et berørt ESET-produkt installeret, behøver du ikke at gøre noget for at løse dette problem. Men hvis du planlægger at installere, geninstallere eller opgradere dit ESET-produkt ved hjælp af en EXE-filinstallationspakke, skal du downloade den mest opdaterede version fra ESET's hjemmeside, før du fortsætter. Hvis du ikke kan downloade den nye EXE-fil, skal du flytte dit eksisterende EXE-installationsprogram til en nyoprettet (tom) mappe og køre det derfra.
Berørte programmer og versioner
- ESET Smart Security Live Installer 9.0.19.0 og tidligere
- ESET NOD32 Antivirus Live Installer 9.0.19.0 og tidligere
- ESET Smart Security Offline Installer 9.0.349.13 og tidligere (9.0.351.2 og tidligere for slovakiske og tjekkiske lokaliseringer og 9.0.349.6 og tidligere for polske lokaliseringer)
- ESET NOD32 Antivirus Offline Installer 9.0.349.13 og tidligere (9.0.351.2 og tidligere for slovakiske og tjekkiske lokaliseringer og 9.0.349.6 og tidligere for polsk lokalisering)
- ESET AV Remover 1.1.3.0 og tidligere
- ESET Endpoint Security med AV Remover 6.3.2016.0 dateret 27. november 2015
- ESET Endpoint Antivirus med AV Remover 6.3.2016.0 dateret 27. november 2015
Detaljer om ESET
ESET's EXE-installationsfiler kan bruge dynamisk forbundne biblioteker (DLL-filer), ligesom alle andre EXE-filer. DLL-filer indlæses af den eksekverbare fil selv eller af operativsystemet fra den første placering, hvor de findes under en sekventiel søgning i DLL-søgerækkefølgen. Standard DLL-søgerækkefølgen begynder med den mappe, hvor det aktuelle program er placeret. Så hvis kunder downloader en EXE-installationsfil til deres download-mappe, og det er lykkedes en angriber at placere en ondsindet DLL-fil med et passende navn i den mappe, før installationsprogrammet udføres, vil angriberens DLL blive fundet først og indlæst. Denne DLL kan derefter kompromittere offerets system. Du kan læse Microsofts detaljerede forklaring på DLL Search Order her.
Den 21. december 2015 beskrev en sikkerhedsforsker denne sårbarhed i nogle af vores produkter; vi hørte om det senere samme dag. Den 30. december 2015 afsluttede ESET forberedelsen og afprøvningen af et hotfix til dette problem. Den næste dag blev der udgivet rettede versioner af installationspakkerne til ESET Smart Security og ESET NOD32 Antivirus på engelsk, slovakisk, tjekkisk og polsk, og den 13. januar 2016 blev der udgivet opdateringer til alle de resterende lokaliseringer. Der blev udgivet en opdatering til ESET AV Remover 1.1.4.0 den 21. januar 2016. Opdateringer til ESET Endpoint Security med AV Remover 6.3.2016.0 og ESET Endpoint Antivirus med AV Remover 6.3.2016.0 blev frigivet den 15. februar 2016. Bemærk, at disse to sidste opdateringer leveres med den samme produktversion som deres tidligere, ukorrigerede release-builds.
ESET foretrækker EXE-installationsprogrammer af hensyn til brugervenligheden. Windows' oprindelige MSI-installationsprogrammer giver ikke mulighed for at udføre alle de handlinger, der kan være nødvendige (f.eks. at tjekke, om en nyere version af softwaren er tilgængelig, før man fortsætter installationen, at afinstallere tidligere installeret sikkerhedssoftware osv.) På trods af dette bruger ESET's EXE-filinstallatører MSI-installationsprocedurer i baggrunden for at sikre overensstemmelse med Microsofts retningslinjer for softwareinstallation.
Installationspakker med endnu mere robuste løsninger på de rapporterede problemer vil snart blive udgivet for at dække flere mulige angrebsscenarier på flere måloperativsystemer.
Anerkendelse
ESET takker den uafhængige sikkerhedsforsker Stefan Kanthak, som fandt og rapporterede dette problem.
Feedback og support
Hvis du har feedback eller spørgsmål til disse opdateringer, bedes du kontakte os via ESET Security Forum eller via den lokale ESET-support.
Rapportering af sikkerhedssårbarheder til ESET
ESET modtager gerne rapporter om sikkerhedshuller i sine produkter. Se http://www.eset.com/int/security-vulnerability-reporting/
Versionslog
- Version 1.0 (19. februar 2016): Første version
