Binary Planting

Microsofts Workaround lässt einzelne Anwendungen ausfallen

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Anzeige

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.


gizmore 07. Sep 2010

Ich bin (immer noch) der Meinung das Redmond das leicht Patchen könnte. Wenn CWD...

düdelüüüü 30. Aug 2010

Schlimmer geht immer...trotzdem wen meinst du damit denn? Shortnews?

hui 30. Aug 2010

Nachtrag: Nach intensiver Recherche kann ich zu meiner Schadne nur erkennen, dass du mir...

dergenervte 30. Aug 2010

Vielleicht liest Du mal hier. Für Dich sollte das reichen. http://forum.golem.de...

Bouncy 30. Aug 2010

gar nicht! plöder fantroll :D

Kommentieren



Anzeige

  1. Consultant SAP MM / MDM / MDGM (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  2. Anwendungsentwickler / -innen COBOL mit JAVA-Perspektive
    Basler Versicherungen, Bad Homburg
  3. IT Specialist - VIP Support (m/w)
    QIAGEN GmbH, Hilden
  4. SAP Business Process Expert (m/w) Module SD/MM/PP
    Brüel & Kjaer Vibro, Darmstadt

 

Detailsuche


Folgen Sie uns
       


  1. Neue Mission

    Nasa will magnetische Rekonnexion erforschen

  2. Bundesregierung

    Klimaziele wegen mangelnder Elektroautoförderung in Gefahr

  3. Flugsicherheitsbehörde

    Lieferdrohnen benötigen Piloten mit Fluglizenz

  4. Gift Trading

    Steam ändert Regeln für geschenkte Spiele

  5. Fluggastdaten

    EuGH soll PNR-Abkommen mit Kanada prüfen

  6. LLGO

    Go-Compiler auf Basis von LLVM

  7. Operation Eikonal

    Regierung schüchtert Ausschuss mit extremem Geheimschutz ein

  8. Creative Commons

    Deutschlandradio darf CC-BY-NC-Bild nutzen

  9. Vodafone All-in-One

    Bündelangebot mit LTE, 100 MBit/s und TV für 60 Euro

  10. Wemo

    Belkin verkauft LED-Lampen mit Internetanschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de



NSA-Ausschuss: Meisterschule für Geheimniskrämer
NSA-Ausschuss
Meisterschule für Geheimniskrämer
  1. Kanzlerhandy Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen
  2. NSA und Co. US-Geheimdienste melden viele Zero-Day-Lücken vertraulich
  3. IT-Sicherheitsgesetz BSI soll Sicherheitslücken nicht geheim halten

Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

Panasonic Lumix DMC-LX100 im Test: Kamera zum Begeistern und zum Verzweifeln
Panasonic Lumix DMC-LX100 im Test
Kamera zum Begeistern und zum Verzweifeln
  1. Systemkamera Sony Alpha 7 II mit 5-Achsen-Bildstabilisierung
  2. Canon PowerShot G7 X im Test Canons Konkurrenz zu Sonys 1-Zoll-Kamera
  3. Interne Dokumente Neuer Sony-Sensor könnte Kameras kraftvoller machen

    •  / 
    Zum Artikel