The cat is out of the bug

ZD Net
Heise
Computer World
Mitja Kolšek interview (Computer World)
Slashdot

Mad props to ACROS for puting DLL-load hijacking on the next level.

ACROS je objavil dve "binary planting" varnostni obvestili že aprila vendar nihče še trenil ni. Ko zadevo objavi HDM then it's media frenzy. But hey, I guess it's good for promotion :D

Booom!

FD še vedno deluje. Ko postane zadeva medijsko dovolj pokrita, se lahko popravek objavi precej hitro. Prej pa 10 let nikogar ni zanimalo:

Advisory
Patch

tudi men se tok dobr slis tale stavek ej xD

Check if you're vuln to DLL preloading via WebDAV: Online Test

Z Mitjem smo dogovorjeni, da za domačo zainteresirano strokovno javnost na srečanju OWASP Slo (6.10.2010, 15:00, Litijska 51, Ljubljana - prostori HSL-ComTrade) prvič predstavi problematiko podtikanja binarnih datotek.

Dogodek bo domača "predigra" predavanja, ki bo predstavljeno teden dni kasneje na HITB Kuala Lumpur 2010.

Brezplačne vstopnice so na razpolago na http://owaspslo.eventbrite.com .

Veseli bomo, če na čim več računalnikih opravite naš test "Ste binary planting pozitivni?" na http://www.binaryplanting.com .
Ker Microsoft ranljivosti ta mesec (včeraj) še ni odpravil, se zaenkrat nismo ukvarjali s prilagajanjem testa. Želeli bi, da ga opravi čim več ljudi na masi računalnikov v različnih okoljih (predvsem poslovnih) ter da se s tem vsi skupaj spodbudimo k razmisleku, kaj pomeni tovrstna ranljivost za naša računalniška okolja.

Upam, da se vidimo,
Stanka, ACROS Security & OWASP Slo Chapter Leader

Neat

No saj glede na to da je oddelek Informacijska varnost dokaj "prazen" in osiromašen. Pa če gre za Windows, Linux, Apple OS, Mobilne platforme, hladilnik, ali samokolnico, ki jo nadziraš preko spleta... Je dobro, da se najdejo ljudje, ki jih to zanima. In kaj o tem napišejo.

Pa tudi če bolj uživajo ko tolčejo po kakšni specifični platformi. Če so argumenti na mestu. Vseeno kakšen je prizvok. Slo-tech potrebuje več informacij na to temo. Tako da vsi, ki se trudijo v to smer. Če gre za argumente. Potem pohvale.

In v čem je točno poanta tega obskurnega ukrepa? Če bi bile prosojnice v angleščini prej javno objavljene, bi to zmanjšalo zanimanje za tuje konference na katerih bo predstavljena ista tematika? Mogoče je potem problem v reusanju prispevkov in bo treba na drugih konferencah ponuditi kaj več (glede na to, da je bil to včeraj neke vrste uvod, sem to tudi pričakoval)? Reči, da je bilo predstavljeno kaj tako kritičnega in bi leakanje prosojnic povzročalo probleme se tudi ne da, navsezadnje sem bil včeraj na tem dogodku. Kar se mene tiče ne rabim prosojnic, lahko jih po spominu sam napišem, gre samo za princip, ki malo spominja na security-through-obscurity.

Ne me narobe razumet, to kar ste odkrili se mi zdi velik dosežek (odkriti so bile čisto novi attack vektorji), čestitke, ampak žal imam občutek, da se vse skupaj razvija v nekaj, kar bi si bolj kot "Most Epic FAIL" zaslužilo pwnie za "Most overhyped bug".

Aja še to: res je problem tudi pri EXE datotekah, ampak tega ne bi metal v isti koš. Ko izvedeš nek zunanji program kot programer nekako pričakuješ, da se bo izvedlo lahko tudi nekaj v trenutnem delovnem direktoriju in je treba paziti. Obnašanje je precej konsistentno na različnih OS. Da se ko rečeš LoadLibrary() naloži knjižnica iz CWD je pa precej obskuren feature, ki ga je uvedel MS in se ga je zdaj težko znebiti. Druga težava je pa to, da človek ne pomisli takoj na DllMain() - torej, da se bo že ob samem nalaganju DLL-ja zagnala koda.