Webbrowsers Chrome van Google en Edge van Microsoft geven gebruikers de handige functie om downloads automatisch af te vangen en in een standaardmap (Downloads) te plaatsen. Deze gebruiksvriendelijke mogelijkheid blijkt ook een securityrisico met zich mee te brengen. Op Windows kan de auto-download namelijk misbruikt worden om malafide DLL-bestanden in die standaardmap te plaatsen, waarna deze malware actief kan worden zodra de gebruiker een gedownload legitiem programma start of installeert vanuit die map.

Klaarzetten in Downloads-map

Security-onderzoeker Haifei Li, in dienst van Intel Security (voorheen McAfee), waarschuwt gebruikers nu om hun download-mappen in de gaten te houden. “De Downloads-folder is normaliter een plek met ongelofelijk veel gedownloade bestanden, dus een slachtoffer realiseert zich waarschijnlijk nooit dat daar een kwaadaardige DLL zit.” Hij legt uit dat een download, van bijvoorbeeld een kwaadaardig DLL-bestand, ook door een website kan worden gestart (middels JavaScript). Een aanvaller kan dan een DLL met een specifieke bestandsnaam klaarzetten in de Download-map.

Een regulier programma zoekt bij het starten namelijk eerst in de eigen map naar DLL-bestanden die het nodig heeft voor de eigen werking. Het klaargezette kwaadaardige DLL-bestand wordt dan geactiveerd door een goedaardig programma. Zo’n programma is dan gedownload van een legitieme website, wordt door de gebruiker zelf gestart en krijgt daarbij van die gebruiker dus ook permissie om te draaien op de pc. De malafide DLL kan dan de uitvoering of installatie van dat programma kapen.

“De meeste DLL’s, zelfs systeem-DLL’s, kunnen worden gekaapt door een DLL met dezelfde bestandsnaam te plaatsen in de map van de executable”, schrijft hij in zijn blogpost over deze kwetsbaarheid. Dit geldt dus ook als de eigenlijke, legitieme DLL al wel aanwezig is op het systeem. Haifei Li doet al jaren onderzoek naar malafide mogelijkheden met DLL-bestanden en heeft bij zijn eervorige werkgever (securityleveranciers Fortinet) daar ook een technische paper over geschreven.

Auto-download raakt ook Android

De security-onderzoeker heeft de kwestie begin oktober gemeld bij zowel Google als Microsoft. Hij tweet dat het Chrome-ontwikkelteam nu de ernst van de kwestie erkent en werkt aan een fix. Ondertussen heeft Google’s eigen security-onderzoeksteam een kwetsbaarheid geopenbaard in de Android-software WifiHs20UtilityService van Samsung. Deze kwetsbaarheid maakt ook gebruik van de auto-downloadfunctie in de Chrome-browser. Deze ontdekking van afgelopen zomer is gefixt in een update van deze maand, aldus een gisteravond geposte reactie in Google's ticketsysteem voor securitykwesties.

De auto-downloadkwetsbaarheid gedemonstreerd op Edge en vervolgens Chrome, draaiend op Windows 10: