アカウント名:
パスワード:
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。これはwindowsの仕様によるもの。もちろんそのdllが正規なものかどうかのチェックをインストーラ側(exe側)でチェックすることもできるから脆弱性といえばそうなのかもしれないけど、dll側がapiフックかけてそのチェックを回避することもできるしねー。
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
仕込まれた時点で、もう乗っ取られてると思うよ。
%PROGRAMFILES% に仕込まれる危険性は UAC の保護等もあり低い一方でダウンロード先フォルダなどは危険性が高いということで、最近はダウンロードしてそのまま実行するようなものが報告の対象になってる。
怪しいソフトをダウンロードして実行したらダメですよ!ってレベルの問題か・・・
怪しくないソフトと怪しいファイルを同じディレクトリに置いたらダメですよ!というのはちょっとレベルが違うと思うんだ。
怪しいファイルダウンロード(ダウンフォルダに自動保存)↓怪しくないアプリダウンロード(ダウンフォルダに自動保存)↓怪しくないアプリ実行↓サヨウナラ
うーん
直接怪しい(DLL)ファイルをダウンロードする方が間違ってるだろ。
Windowsのシステムファイルをネット検索するとこのファイル何?みたいなサイト山ほど見つかって最新ファイルをダウンロード みたいなリンクまである怪しいと言えば怪しいんだけど、そういう所から単品持ってくる可能性はあるかもしれない
違うが、それも含めて仕様としか言いようがないケースでは。これを脆弱性呼ばわりして何をさせたいんだ。
ここはスラドなので、マイクロソフトが絡んでて脆弱性っぽければ、実害やリスク・発生可能性は関係なくマイクロソフトを叩きましょう。肯定なんて許しません。# という話では
Windowsのライセンスを隅から隅まで読んだとまでは言えないが、「仕様がクソだね」と文句垂れる権利まで放棄した記憶はないぞ。マカーも真っ青の信者脳だな。
自身の発言に対して「何いってんだこいつ」と言われない権利をいつ手に入れた記憶があるんだ?
別に文句をたれるなと入っていないが。公の場で筋違いの文句を大声で叫んでいたら、うるせーチラシの裏にでも書いてろと言われただけだろ。
それよりももう一歩か二歩進んだ話かと。一部の安全性の確認方法が通じなくなる。
取引先(?)から「このソフトを使ってください。マイクロソフト製のソフトです」ってリンクが送られてきて、ダウンロードした。 ZIPを解凍し、署名も問題なく、ウイルス対策ソフトも警告を出さなかったので、インストールしたところ、展開したZIPに標的型の攻撃コードがはいったDLLが含まれていて…
こういうことがおきる。
不審者から送られてきたソフトは実行してはいけません ってのはソーシャルハッキングでどうにでもなってしまう時代。なので信頼できる相手であっても、信頼できない
可能ではあるが、Windows Defender Exploit Protectionでがちがちにガードするとだいぶ不便な環境になるよ。
基本的、多くの仕事はセキュリティを守ることじゃなくて、効率よくお金を稼ぐことなので、ガチガチに制限したら意味ないんですよ。 健康の為なら死んでも言い、ならぬ、セキュリティの為なら仕事をしなくてもいい、ってわけにはいかないもんなんです。
そのバランスを守る運用が必要なんだけど、こういう話でだんだんとバランスを制限側に持って行かざるを得なくなるんだが、はっきり言ってセキュリティはどこまでかけても金に
> アプリケーション開発者でもない限りそれで何ら不自由ないだろ
んなわけない。
for /f delims^= %i in ('dir /a-d /b /s %homedrive%%homepath%\downloads\*dll ^| findstr /i /e "DLL"') do attrib -h -s "%i"&&ren "%i" "%~nxi~"
初心者がインストーラをデフォルトのtempディレクトリにぐしゃっと展開して起動したときにtempディレクトリに悪意あるdllがあれば読み込まれるというケースは有りえるかも
もっともデフォルトのtempディレクトリにぐしゃっと展開するときに同名のdllに上書きするか聞いてくるはずでそれを許可してしまうという間抜けなミスが必要ですね
初心者がインストーラをデフォルトのtempディレクトリにぐしゃっと展開
この時点で初心者ではありません本当の初心者はデフォルトのダウンロードフォルダでそのまま実行しますというかどこという概念自体を持っていませんドライブバイダウンロードは当たり前の便利な機能というのが初心者ですので
# しょしんしゃまじこわい
「ダウンロード」してからエクスプローラから実行するようなケースだよね。ブラウザのリンクから直接「実行」だと、ダウンロードフォルダには入らんし、ダウンロードセッション毎に個別のフォルダから実行される。
真の初心者ならDLL差し替えのリスクはあまりないかもね。
行儀悪いプリンタドライバとかでtempにごっそり展開してくれる奴はあったような気がする
tempに展開されるのは一般的。temp直下だと問題だけどディレクトリ作ってそこに展開するのが主流だからだいたい問題ない。
ソーシャルエンジニアリングであるという認識らしいです。
「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降http://security.at.webry.info/201805/article_4.html [webry.info]
> dll側がapiフックかけてそのチェックを回避することもできるしねー。kernel32.dllだけDLLして、残りはファイルチェック掛けてからorシステムパスを指定してLoadLibraryで確か行ける。
kernel32.dllとかはこの攻撃出来ないんじゃなかったかな。kernel32.dllの読み込み順序とかが違うんだったか、差し替えても正規のに飛べずにコケるから無意味なんだったか忘れたけど、アプリの改造でこれらのAPIをフックする時は_ernel32.dllとかを用意してEXE内の文字列を書き換えるとかがテンプレパターン。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
仕様と脆弱性の違いはどこに? (スコア:1)
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
これはwindowsの仕様によるもの。
もちろんそのdllが正規なものかどうかのチェックをインストーラ側(exe側)でチェックすることもできるから脆弱性といえばそうなのかもしれないけど、dll側がapiフックかけてそのチェックを回避することもできるしねー。
Re:仕様と脆弱性の違いはどこに? (スコア:1)
同一のフォルダにdll仕込まれたらインストーラでなく、ふつうのアプリでもそのdllを読みにいくよね。
仕込まれた時点で、もう乗っ取られてると思うよ。
Re: (スコア:0)
%PROGRAMFILES% に仕込まれる危険性は UAC の保護等もあり低い一方で
ダウンロード先フォルダなどは危険性が高いということで、最近は
ダウンロードしてそのまま実行するようなものが報告の対象になってる。
Re: (スコア:0)
怪しいソフトをダウンロードして実行したらダメですよ!ってレベルの問題か・・・
Re: (スコア:0)
怪しくないソフトと怪しいファイルを同じディレクトリに置いたらダメですよ!というのはちょっとレベルが違うと思うんだ。
Re:仕様と脆弱性の違いはどこに? (スコア:2, すばらしい洞察)
怪しいファイルダウンロード(ダウンフォルダに自動保存)
↓
怪しくないアプリダウンロード(ダウンフォルダに自動保存)
↓
怪しくないアプリ実行
↓
サヨウナラ
うーん
Re: (スコア:0)
直接怪しい(DLL)ファイルをダウンロードする方が間違ってるだろ。
Re: (スコア:0)
Windowsのシステムファイルをネット検索すると
このファイル何?みたいなサイト山ほど見つかって
最新ファイルをダウンロード みたいなリンクまである
怪しいと言えば怪しいんだけど、そういう所から単品持ってくる可能性はあるかもしれない
Re: (スコア:0)
違うが、それも含めて仕様としか言いようがないケースでは。これを脆弱性呼ばわりして何をさせたいんだ。
Re: (スコア:0)
ここはスラドなので、マイクロソフトが絡んでて脆弱性っぽければ、実害やリスク・発生可能性は関係なくマイクロソフトを叩きましょう。肯定なんて許しません。
# という話では
Re: (スコア:0)
Windowsのライセンスを隅から隅まで読んだとまでは言えないが、「仕様がクソだね」と文句垂れる権利まで放棄した記憶はないぞ。
マカーも真っ青の信者脳だな。
Re: (スコア:0)
自身の発言に対して「何いってんだこいつ」と言われない権利をいつ手に入れた記憶があるんだ?
Re: (スコア:0)
別に文句をたれるなと入っていないが。公の場で筋違いの文句を大声で
叫んでいたら、うるせーチラシの裏にでも書いてろと言われただけだろ。
Re: (スコア:0)
それよりももう一歩か二歩進んだ話かと。一部の安全性の確認方法が通じなくなる。
取引先(?)から「このソフトを使ってください。マイクロソフト製のソフトです」ってリンクが送られてきて、ダウンロードした。
ZIPを解凍し、署名も問題なく、ウイルス対策ソフトも警告を出さなかったので、インストールしたところ、展開したZIPに標的型の攻撃コードがはいったDLLが含まれていて…
こういうことがおきる。
不審者から送られてきたソフトは実行してはいけません ってのはソーシャルハッキングでどうにでもなってしまう時代。なので信頼できる相手であっても、信頼できない
Re: (スコア:0)
信用できるパブリッシャーの署名のないexeとdllの実行をブロックするだけ
法人向けのAAならどこのでもできると思うよ
Re:仕様と脆弱性の違いはどこに? (スコア:1)
可能ではあるが、Windows Defender Exploit Protectionでがちがちにガードするとだいぶ不便な環境になるよ。
Re: (スコア:0)
基本的、多くの仕事はセキュリティを守ることじゃなくて、効率よくお金を稼ぐことなので、ガチガチに制限したら意味ないんですよ。
健康の為なら死んでも言い、ならぬ、セキュリティの為なら仕事をしなくてもいい、ってわけにはいかないもんなんです。
そのバランスを守る運用が必要なんだけど、こういう話でだんだんとバランスを制限側に持って行かざるを得なくなるんだが、はっきり言ってセキュリティはどこまでかけても金に
Re: (スコア:0)
使う方は許可されたバイナリ以外は全部不可で後から追加もできないから超絶不便だけど、アプリケーション開発者でもない限りそれで何ら不自由ないだろ
Re: (スコア:0)
> アプリケーション開発者でもない限りそれで何ら不自由ないだろ
んなわけない。
Re: (スコア:0)
for /f delims^= %i in ('dir /a-d /b /s %homedrive%%homepath%\downloads\*dll ^| findstr /i /e "DLL"') do attrib -h -s "%i"&&ren "%i" "%~nxi~"
Re: (スコア:0)
初心者がインストーラをデフォルトのtempディレクトリにぐしゃっと
展開して起動したときにtempディレクトリに悪意ある
dllがあれば読み込まれるというケースは有りえるかも
もっともデフォルトのtempディレクトリにぐしゃっと
展開するときに同名のdllに上書きするか聞いてくる
はずでそれを許可してしまうという間抜けなミスが
必要ですね
Re: (スコア:0)
初心者がインストーラをデフォルトのtempディレクトリにぐしゃっと展開
この時点で初心者ではありません
本当の初心者はデフォルトのダウンロードフォルダでそのまま実行します
というかどこという概念自体を持っていません
ドライブバイダウンロードは当たり前の便利な機能というのが初心者ですので
# しょしんしゃまじこわい
Re: (スコア:0)
「ダウンロード」してからエクスプローラから実行するようなケースだよね。
ブラウザのリンクから直接「実行」だと、ダウンロードフォルダには入らんし、ダウンロードセッション毎に個別のフォルダから実行される。
真の初心者ならDLL差し替えのリスクはあまりないかもね。
Re: (スコア:0)
行儀悪いプリンタドライバとかでtempにごっそり展開してくれる奴はあったような気がする
Re: (スコア:0)
tempに展開されるのは一般的。
temp直下だと問題だけどディレクトリ作ってそこに展開するのが主流だからだいたい問題ない。
Re: (スコア:0)
ソーシャルエンジニアリングであるという認識らしいです。
「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降
http://security.at.webry.info/201805/article_4.html [webry.info]
Re: (スコア:0)
> dll側がapiフックかけてそのチェックを回避することもできるしねー。
kernel32.dllだけDLLして、残りはファイルチェック掛けてからorシステムパスを指定してLoadLibraryで確か行ける。
kernel32.dllとかはこの攻撃出来ないんじゃなかったかな。
kernel32.dllの読み込み順序とかが違うんだったか、差し替えても正規のに飛べずにコケるから無意味なんだったか忘れたけど、アプリの改造でこれらのAPIをフックする時は_ernel32.dllとかを用意してEXE内の文字列を書き換えるとかがテンプレパターン。