Abo
  • Services:
Anzeige

Binary Planting

Microsoft veröffentlicht neues Hilfe-Werkzeug

Microsoft hat ein grafisches Werkzeug veröffentlicht, das Anwendern bei der Abschottung des Rechners gegen Binary Planting helfen soll. Fixit 50522 bietet Abhilfe für den vergangene Woche veröffentlichten Registry-Patch.

Mit Fixit 50522 will Microsoft Anwender bei der Absicherung ihres Systems gegen das sogenannte Binary Planting unterstützen. Das Werkzeug aktiviert den Registry-Eintrag CWDIllegalInDllSearch, damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wird. Die Verwendung des Werkzeugs setzt allerdings voraus, dass der letzte Woche veröffentlichte Patch bereits installiert ist.

Anzeige

Das globale Setzen des Registry-Eintrags bereitet allerdings Probleme bei einigen Applikationen, etwa mit dem Google-Browser Chrome oder dem Adressbuch in Outlook 2002. Mit dem Fixit-Werkzeug können die globalen Einstellungen für bestimmte Applikationen abgeändert werden. So empfiehlt der Blogeintrag zu Fixit 50522, in der Registry im Outlook-spezifischen Eintrag einen neuen Schlüssel, CWDIllegalInDllSearch, anzulegen und einen eigenen Wert zuzuweisen, etwa "2", um das Laden von DLLs aus dem Netzwerk zu verhindern.

Indes weisen die Microsoft-Entwickler darauf hin, dass Flyby-Angriffe aus dem Internet ausgeschlossen sind. Damit ein Angriff aus dem Internet funktioniere, müsse ein Anwender einen WebDAV-Server ansteuern, dort auf eine Datei klicken, die bei ausgeblendeten Dateierweiterungen als sicher angezeigt wird, und die Abfrage des Internet Explorers bestätigen, bevor das System kompromittiert werden kann. Die Blogseite warnt explizit davor, unbekannte WebDAV-Seiten zu besuchen.

Das Sicherheitsrisiko durch Binary Planting war vor wenigen Tagen bekanntgeworden. Inzwischen ist klar, dass hunderte Applikationen von der Sicherheitslücke betroffen sind, bei der Windows eine maliziöse DLL-Bibliothek untergeschoben und ausgeführt werden kann.

Für einen erfolgreichen Angriff muss der Nutzer dazu gebracht werden, ein SMB-Netzlaufwerk oder auch ein WebDAV-Laufwerk zu nutzen, auf dem der Schadcode abgelegt wurde. Angriffe sollen sich aber nicht nur auf diese beiden Protokolltypen beschränken. Für einen erfolgreichen Angriff genügt es, eine ungefährliche Datei - beispielsweise eine MP3-Datei oder ein Office-Dokument - zu öffnen. Neben dieser Datei liegt im selben Verzeichnis eine unauffällige Bibliothek, die anfällige Anwendungen Schadcode ausführen lässt. Diese DLL-Datei wird gegebenenfalls automatisch geladen, wenn die Anwendung nicht nach der DLL mit einer Pfadangabe sucht (fully qualified path). In dem Fall sucht die Anwendung nach der DLL in Verzeichnissen des sogenannten DLL Search Path, der das derzeitige Arbeitsverzeichnis mit einschließt.


eye home zur Startseite
Der Kaiser! 09. Sep 2010

Sprach der Beleidiger. ^^



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, St. Wendel
  2. Geberit Verwaltungs GmbH, Pfullendorf
  3. Sika Deutschland GmbH, Stuttgart
  4. Robert Bosch GmbH, Leonberg


Anzeige
Spiele-Angebote
  1. 349,99€
  2. 39,27€ (Vorbesteller-Preisgarantie)
  3. (u. a. Battlefield 4 für 4,99€, Battlefield Hardline 4,99€, Battlefront 19,99€, Mirrors Edge...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Tipps für IT-Engagement in Fernost


  1. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  2. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  3. Browser

    Google Cast ist nativ in Chrome eingebaut

  4. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  5. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  6. Videocodec

    Für Netflix ist H.265 besser als VP9

  7. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen

  8. World of Warcraft

    Sechste Erweiterung Legion ist online

  9. Ripper

    Geldautomaten-Malware gibt bis zu 40 Scheine aus

  10. Europäische Union

    Irlands Steuervorteile für Apple sollen unzulässig sein



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

  1. Re: Hat der Author geschafft, sich per IRC oder...

    hannob (golem.de) | 15:07

  2. Re: "will fair behandelt werden"

    ChMu | 15:07

  3. Re: Dinge, die ein künftiges iPhone haben sollte

    Ibob | 15:07

  4. Re: Bis die Leute merken, dass Threema keinen...

    qrunqlus | 15:06

  5. Re: Ohhhh blockieren wir jetzt AdBlocker?

    teenriot* | 15:05


  1. 15:01

  2. 14:57

  3. 14:24

  4. 14:00

  5. 12:59

  6. 12:31

  7. 12:07

  8. 11:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel