Across Security publie une série d’alertes débutant toutes par « plantation à distance de binaires dans xxx », xxx pouvant être n’importe quelle application accédant à un partage réseau –lan ou wan-. Deux exemples sont donnés, utilisant les VMware tool et iTune. Le principe de fonctionnement semble simple : il suffit d’adjoindre à un fichier multimédia servant d’appât, une DLL-piège utilisant un nom très particulier. Cela n’est pas sans rappeler la méthode régissant l’ordre de priorité de lecture des DLL par le noyau Windows lorsque celles-ci ne sont pas stockées dans le répertoire System32. Tout comme dans l’affaire de la faille .LNK, les mesures de contournement sont radicales et les experts conseillent de désactiver les ports liés à SMB (445, 139… mais qui donc ne l’a pas déjà fait ?) ainsi que WebDAV, ce qui ne sera pas apprécié par toutes les applications. Depuis le début de la période estivale, l’enfer semble toujours pavé de DL-Hell.
1 commentaire