Binary Planting

Microsofts Workaround lässt einzelne Anwendungen ausfallen

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Anzeige

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.

Kommentarübersicht
Re: lösung: fehlende dlls einfach reinkopieren...
gizmore 07. Sep 2010

Ich bin (immer noch) der Meinung das Redmond das leicht Patchen könnte. Wenn CWD...

Re: jmd mal die Artikel hierzu bei heise.de gelesen
düdelüüüü 30. Aug 2010

Schlimmer geht immer...trotzdem wen meinst du damit denn? Shortnews?

Re: DLL-Hölle
hui 30. Aug 2010

Nachtrag: Nach intensiver Recherche kann ich zu meiner Schadne nur erkennen, dass du mir...

Re: DLL- und Registry-Hölle
dergenervte 30. Aug 2010

Vielleicht liest Du mal hier. Für Dich sollte das reichen. http://forum.golem.de...

Re: bevor keine probleme
Bouncy 30. Aug 2010

gar nicht! plöder fantroll :D

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Projektleiter Daten- und Prozessstandardisierung (m/w)
    WALTER AG, Tübingen
  2. Test Manager (m/w)
    Wirecard Technologies GmbH, Aschheim near Munich
  3. Online-Mediendesigner / Mediengestalter (m/w) Online / Digital
    Heise Medien Gruppe GmbH & Co. KG, Rostock
  4. User Experience Designer (m/w)
    PAYBACK GmbH, München

 

Detailsuche

Folgen Sie uns
       
Videos
Nvidia stellt die Grafikkarte Geforce GTX 780 vor Nvidia stellt die Grafikkarte Geforce GTX 780 vor
Ticker
  1. Kinect für Windows

    Xbox-One-Sensor kommt 2014 auch für PC

  2. Chrome 28 Beta

    Blink sorgt für kürzere Ladezeiten

  3. Scanadu Scout

    Tricorder für 150 US-Dollar

  4. Steifes Kabel

    iPhone am Schwanenhals

  5. Need for Speed Rivals

    Verfolgungsjagden zwischen Cops und Rasern

  6. Digitimes

    Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

  7. Doc Patch

    Das Grundgesetz wird Open Data

  8. Bibliotheca Augusta

    Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

  9. 802.11ac

    Erster Chipsatz für WLAN mit 1,7 GBit/s

  10. Windenergie

    Google kauft Hersteller von Windkraftwerken

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Unity
Engine: Unity-Basis kostenlos mit Mobile-Werkzeugen
Engine
Unity-Basis kostenlos mit Mobile-Werkzeugen

Hobbyentwickler und kleine Studios können mit der Unity-Engine ab sofort kostenlos für Android und iOS produzieren. Etwas später sollen auch die Werkzeuge für Windows 8, Blackberry und weitere mobile Plattformen verfügbar sein.

  1. Eve VR ausprobiert Freie Sicht im Cockpit von Eve Online
  2. Test Ubuntu 13.04 Raring Ringtail geht's langsam an
  3. Unity Hat Adobe das Interesse an Flash verloren?
Amazon
Seattle Campus: Amazon baut sich einen Wald in riesigen Glaskugeln
Seattle Campus
Amazon baut sich einen Wald in riesigen Glaskugeln

Nach einem Entwurf des Architekturbüros NBBJ will Amazon eine extravagante neue Konzernzentrale bestehend aus drei riesigen Gewächshauskugeln und Bürohochhäusern errichten.

  1. Amazon Coins Amazon bringt virtuelle Währung auf Kindle Fire
  2. Cloud Drive Photos Amazon schickt Fotos auf dem iPhone in die Cloud
  3. Quartalsbericht Amazon gibt 3,2 Milliarden Dollar für Lager und Filme aus
DSL
Telekom: Bundestagspetition gegen Drosselung gestartet
Telekom
Bundestagspetition gegen Drosselung gestartet

Eine Petition auf der Plattform des Bundestages will die DSL-Drosselungspläne der Telekom durch ein Gesetz stoppen. Sie fordert die Gleichbehandlung von Datenpaketen unabhängig von ihrem Inhalt und ihrer Herkunft.

  1. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom
  2. Vectoring der Telekom Bundesnetzagentur genehmigt VDSL mit 100 MBit/s
  3. Kündigungsgrund Wenn der Telefon-DSL-Anschluss nicht voll funktioniert
Forumsbeiträge »
  1. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten

    Ob es realisiert wird oder nicht...

    Andre S | 09:56

  2. Kinect für Windows Xbox-One-Sensor kommt 2014 auch für PC

    Das wäre was für die Steam-Box

    Lord Gamma | 09:55

  3. Kinect für Windows Xbox-One-Sensor kommt 2014 auch für PC

    Re: Funktioniert mein PC dann noch...

    UP87 | 09:55

  4. Scanadu Scout Tricorder für 150 US-Dollar

    Hardware für Hypochonder

    the_spacewürm | 09:53

  5. Geforce GTX-780 Nvidias Titan LE schlägt Radeon HD 7970 für 649 Euro

    Re: Titel Falsch?

    tokad | 09:53

Ticker »
  1. Kinect für Windows Xbox-One-Sensor kommt 2014 auch für PC

    09:10

  2. Chrome 28 Beta Blink sorgt für kürzere Ladezeiten

    08:46

  3. Scanadu Scout Tricorder für 150 US-Dollar

    08:34

  4. Steifes Kabel iPhone am Schwanenhals

    08:19

  5. Need for Speed Rivals Verfolgungsjagden zwischen Cops und Rasern

    21:07

  6. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    19:04

  7. Doc Patch Das Grundgesetz wird Open Data

    18:57

  8. Bibliotheca Augusta Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

    18:20

Zum Artikel