Microsoft выпустила инструмент, блокирующий загрузку удаленных DLL-файлов

Корпорация Microsoft выпустила инструмент, блокирующий загрузку определенных файлов DLL в операционной системе Windows, дабы минимизировать вероятность взлома ОС. Изначально корпорация не планировала выпускать блокиратор, но столкнувшись с волной критики, все же пошла на выпуск программы. В компании признали, что в сети появились многочисленные эксплоиты, пытающиеся атаковать Windows за счет наличия этих злополучных DLL-файлов.

Интересно отметить, что ранее ряд независимых экспертов сообщили, что указанные системные библиотеки настолько опасны, что при помощи них можно взломать систему, используя в качестве инструмента атаки даже собственное программное обеспечение Microsoft. Впрочем, в корпорации пока этот факт не подтверждают, заявляя, что технический персонал расследует сделанные ранее заявления.

В бюллетене безопасности, опубликованном в понедельник, говорится, что представленные накануне разработки закрывают значительную часть связанных с DLL уязвимостей. Текст бюллетеня доступен по адресу Microsoft Security Advisory (2269637).

В корпорации говорят, что критика в адрес системных библиотек Windows раздается из-за архитектурных особенностей операционной системы. Дело в том, что во многих системных вызовах Windows, ОС не использует полное расширение и путь до файла, а применяет лишь имя файла. Данный факт открывает для потенциальных злоумышленников большой вектор атаки. Злоумышленник, к примеру, может использовать для системного вызова злонамеренный DLL-файл, совпадающий по имени с подлинной системной библиотекой.

На прошлой неделе в исследовательской компании Rapid 7, разработавшей популярный набор для тестирования безопасности системы Metasploit, заявили, что DLL-уязвимость затрагивает порядка 40 продуктов Microsoft, включая и операционную систему Windows.

Однако в Microsoft не согласны с такой постановкой вопроса. "Не следует говорить об уязвимости в каком-то продукте Microsoft. Это своеобразный трюк, который заставляет приложение подгружать код поддельной хакерской библиотеки", - говорит менеджер по коммуникациям Microsoft Security Response Center Кристофер Бадд.

Сейчас, говорит он, компания выпустила программный компонент, запрещающий загрузку dll-файлов из удаленных директорий, к примеру со съемных USB-накопителей, с сетевых папок и других источников. "Разработка просто блокирует загрузку удаленных библиотек, что может снизить вероятность атаки", - говорит Бадд.

Также он отметил, что пока данный блокиратор распространяется только в среде корпоративных пользователей, через автоматическую систему обновления он доступен не будет.

Те, кто пока не загрузил блокиратор, но подозревает, что может стать жертвой атаки, Microsoft советует заблокировать на компьютере исходящий SMB-трафик и отключить встроенный в Windows веб-клиент.