Aktualności
Doradztwo dla klientów ESET 2016-0001
19 lutego 2016 r
Poziom ważności: Krytyczny
Podsumowanie
Firma ESET wdrożyła środki zaradcze, aby zapobiec atakom DLL Search Order na instalatory EXE dla wielu produktów Windows, których listę można znaleźć w sekcji Dotknięte programy i wersje poniżej.
Przed wdrożeniem tych środków zaradczych instalatory ESET mogły być podatne na wstępne ładowanie bibliotek DLL przy użyciu podwyższonych uprawnień uzyskanych przez wykorzystanie tej luki w zabezpieczeniach DLL Search Order. Można to było osiągnąć poprzez umieszczenie specjalnie spreparowanego pliku DLL w tym samym folderze co instalator przed instalacją. Chociaż może się to wydawać mało prawdopodobnym scenariuszem, instalatory są zwykle uruchamiane z folderu "Downloads" używanego przez przeglądarkę internetową, który może zawierać pliki DLL pobrane przez użytkownika.
ESET nie jest świadomy aktywnego wykorzystywania tej luki na wolności.
Łagodzenia w tych hotfixach zostaną wkrótce zastąpione bardziej kompleksowymi rozwiązaniami.
Rozwiązanie
Jeśli masz już zainstalowany produkt ESET, którego dotyczy błąd, nie musisz podejmować żadnych działań, aby rozwiązać ten problem. Jeśli jednak planujesz instalację, ponowną instalację lub aktualizację produktu ESET przy użyciu pakietu instalacyjnego z plikiem EXE, przed kontynuowaniem pobierz najnowszą wersję ze strony internetowej ESET. Jeśli nie możesz pobrać nowego pliku EXE, przenieś istniejący instalator EXE do nowo utworzonego (pustego) folderu i uruchom go stamtąd.
Programy i wersje, których dotyczy problem
- ESET Smart Security Live Installer 9.0.19.0 i wcześniejsze wersje
- ESET NOD32 Antivirus Live Installer 9.0.19.0 i wcześniejsze
- ESET Smart Security Offline Installer 9.0.349.13 i wcześniejsze (9.0.351.2 i wcześniejsze dla lokalizacji słowackiej i czeskiej oraz 9.0.349.6 i wcześniejsze dla lokalizacji polskiej)
- ESET NOD32 Antivirus Offline Installer 9.0.349.13 i wcześniejsze (9.0.351.2 i wcześniejsze dla lokalizacji słowackiej i czeskiej oraz 9.0.349.6 i wcześniejsze dla lokalizacji polskiej)
- ESET AV Remover 1.1.3.0 i wcześniejsze
- ESET Endpoint Security z AV Remover 6.3.2016.0 z dnia 27 listopada 2015 r
- ESET Endpoint Antivirus z AV Remover 6.3.2016.0 z dnia 27 listopada 2015 r
Szczegóły
Pliki instalatora EXE firmy ESET mogą korzystać z dynamicznie połączonych bibliotek (plików DLL), podobnie jak inne pliki EXE. Pliki DLL są ładowane przez sam plik wykonywalny lub przez system operacyjny z pierwszej lokalizacji, w której zostaną znalezione podczas sekwencyjnego wyszukiwania DLL Search Order. Domyślna kolejność wyszukiwania bibliotek DLL rozpoczyna się od folderu, w którym znajduje się bieżący program. Tak więc, jeśli klienci pobierają plik instalatora EXE do folderu pobierania, a atakującemu udało się umieścić odpowiednio nazwany złośliwy plik DLL w tym folderze przed wykonaniem instalatora, DLL atakującego zostanie znaleziony jako pierwszy i załadowany. Ta biblioteka DLL może następnie zagrozić systemowi ofiary. Szczegółowe wyjaśnienie firmy Microsoft dotyczące DLL Search Order można przeczytać tutaj.
W dniu 21 grudnia 2015 r. badacz bezpieczeństwa opisał tę lukę w niektórych naszych produktach; dowiedzieliśmy się o tym później tego samego dnia. 30 grudnia 2015 r. firma ESET zakończyła przygotowywanie i testowanie poprawki hotfix dla tej luki. Następnego dnia wydano poprawione wersje pakietów instalacyjnych dla ESET Smart Security i ESET NOD32 Antivirus w lokalizacjach angielskiej, słowackiej, czeskiej i polskiej, a 13 stycznia 2016 r. wydano aktualizacje dla wszystkich pozostałych lokalizacji. Aktualizacja dla ESET AV Remover 1.1.4.0 została wydana 21 stycznia 2016 roku. Aktualizacje dla ESET Endpoint Security with AV Remover 6.3.2016.0 i ESET Endpoint Antivirus with AV Remover 6.3.2016.0 zostały wydane 15 lutego 2016 roku. Należy pamiętać, że te dwie ostatnie aktualizacje są dostarczane z tą samą wersją produktu, co ich poprzednie, niepoprawione wersje.
ESET preferuje instalatory EXE ze względu na użyteczność. Natywne instalatory MSI systemu Windows nie pozwalają na elastyczność w wykonywaniu wszystkich możliwych wymaganych działań (na przykład sprawdzanie, czy dostępna jest nowsza wersja oprogramowania przed kontynuowaniem instalacji, odinstalowywanie wcześniej zainstalowanego oprogramowania zabezpieczającego itp.) Mimo to instalatory plików EXE firmy ESET wykorzystują w tle procedury instalacyjne MSI, aby zapewnić zgodność z wytycznymi Microsoftu dotyczącymi instalacji oprogramowania.
Pakiety instalacyjne z jeszcze solidniejszymi rozwiązaniami dla zgłoszonych problemów zostaną wkrótce wydane, aby objąć więcej możliwych scenariuszy ataków na więcej docelowych systemów operacyjnych.
Podziękowania
ESET dziękuje niezależnemu badaczowi bezpieczeństwa Stefanowi Kanthakowi, który znalazł i zgłosił ten błąd.
Opinie i wsparcie
Jeśli masz opinie lub pytania dotyczące tych aktualizacji, skontaktuj się z nami za pośrednictwem ESET Security Forum lub lokalnego wsparcia ESET.
Zgłaszanie luk w zabezpieczeniach do ESET
Firma ESET z zadowoleniem przyjmuje zgłoszenia luk w zabezpieczeniach swoich produktów. Zobacz http://www.eset.com/int/security-vulnerability-reporting/
Dziennik wersji
- Wersja 1.0 (19 lutego 2016 r.): Pierwsza wersja
