Het aantal applicaties dat vatbaar blijkt voor een recent ontdekt DLL-lek in Windows groeit in rap tempo. Via het lek kunnen kwaadwillenden ervoor zorgen dat onschuldige applicaties onbedoeld malware in het geheugen laden, die vermomd als applicatie-DLL in dezelfde bestandsmap staat.
Hoewel een soortgelijk type aanval tien jaar geleden ook al eens aan het licht kwam, zijn de mogelijkheden tot misbruik nu groter. Terwijl de malware toen vooral vanaf lokale computers werd gestart, kunnen besmette bestanden nu ook vanaf het netwerk of webservers verspreid worden.
Daarnaast wijst een beveiligingstoolkit, waarmee ontwikkelaars kunnen testen of applicaties vatbaar zijn voor het lek, kwaadwillenden de weg naar kwetsbare applicaties. De initial DLLHijackAuditKit werd op 23 augustus vrijgegeven door HD Moore. De beveiligingsonderzoeker, die tegenwoordig technisch directeur is bij beveiligingsbedrijf Rapid 7, ontwikkelde in 2003 het Metasploit Framework. Met dit framework kunnen beveiliginsonderzoekers ’test’-malware ontwikkelen om naar beveiligingslekken te zoeken.
In de derde week van augustus bleken iTunes-bestanden al gevoelig voor het lek. Sinds het vrijgeven van initial DLLHijackAuditKit komt een stortvloed van kwetsbare applicaties aan het licht. Tot de kwetsbare applicaties zouden onder meer Microsoft Office en Live Mail behoren. Ook Firefox 3.6.8 is vatbaar.
Praktische adviezen
Microsoft beschrijft het DLL hijacking-probleem hier. Beveiligingsadviseur Maarten Hartsuijker, expert binnen het Topic Security voor Computable, geeft hier praktische adviezen om het beveiligingsrisico van het DLL hijacking-probleem te verminderen.
