Problem leży w samym procesie ładowania biblioteki DLL. Dowolna aplikacja uruchamiana w środowisku Microsoft Windows, wysyłając żądanie załadowania biblioteki nie wskazuje konkretnej lokalizacji powyższej biblioteki (DLL). W systemie Windows biblioteki znajdować się mogą w różnych lokalizacjach np.: ”C:\Windows\system32″, “C:\Windows\system”. Można zatem przypuszczać, iż uruchamiana aplikacja będzie poszukiwać bibliotek w powyższych lokalizacjach systemowych oraz w obrębie katalogu w kontekście którego została uruchomiona.
Zatem, aby przeprowadzić udany atak, atakujący musi podrzucić spreparowana bibliotekę DLL z własnym kodem źródłowym. Zwrócimy uwagę, że plik uruchamiający aplikacje nie musi znajdować się na zasobach systemowych komputera ofiary, możemy podrzucić dowolny plik wraz z biblioteką DLL, przy wykorzystaniu nośników np.: USB, CD, DVD, zasób sieciowy.
Firma Acros opublikowała informacje, iż ponad 200 aplikacji na platformę Windows jest podatnych na powyższy błąd.

Jak się uchronić przed zagrożeniem?

Firma Microsoft opublikowała informacje nt. luki wraz z narzędziem, którego można użyć, aby zmodyfikować sposób przeszukiwania systemu plików przy ładowaniu bibliotek. Ponadto zaleca się wykorzystywanie aktualnych wersji aplikacji zainstalowanych na systemie Windows.


Dodatkowe informacje:

• http://www.kb.cert.org/vuls/id/707943
• http://www.microsoft.com/technet/security/advisory/2269637.mspx
• http://support.microsoft.com/kb/2264107