Einschleusen von EXE-Dateien möglich

Die Reihenfolge der Suchpfade beim Aufruf von ausführbaren Dateien beginnt im Gegensatz zu DLL-Dateien meist im aktuellen Arbeitsverzeichnis oder im Pfad der ursprünglich geladenen Anwendung. Die oftmals undokumentierte Reihenfolge lässt sich laut den Entwicklern bei Arcos Security mit dem Process-Monitor aus der Werkzeugsammlung von Sysinternals beobachten.

Als Beispiel nennt das Arcos-Security-Team die Funktionen CreateProcess*, WinExec und LoadModule, die zunächst im gleichen Verzeichnis, dann im derzeitigen Arbeitsverzeichnis und erst danach in den Windows-Systemverzeichnissen nach einer zu startenden EXE-Datei suchen. Damit ist die Reihenfolge mit der ursprünglich von LoadLibrary* für DLLs verwendeten identisch, bevor die heute gebräuchliche sicherere Reihenfolge eingeführt wurde.

Sollte in den ersten zwei Verzeichnissen beispielsweise eine schadhafte EXE-Datei lauern und den Namen einer bekannten Windows-Datei tragen, etwa Calc.exe, wird diese vor der eigentlichen Calc.exe im Windows-Verzeichnis gestartet. Die ausführbaren Dateien können auch in Netzwerkpfaden liegen. Zudem erhält der Anwender keinerlei Sicherheitshinweise beim Aufruf über die genannten Funktionen. Auch bei Aufrufen über die Funktionen _spawn*p* and _exec*p* erhält der Anwender keinerlei Warnungen. Dort beginnt die Suche allerdings schon im jeweiligen Arbeitsverzeichnis.

Beim Aufruf über die Funktion ShellExecute* beginnt die Suche ebenfalls im derzeitigen Arbeitsverzeichnis, bevor nach den entsprechenden Dateien in den Windows-System-Verzeichnissen gesucht wird. Hier erhält der Anwender zumindest dann einen Warnung, wenn die ausführbare Datei aus der Internetzone gestartet wird, nicht aber, wenn die entsprechende Datei in Pfaden liegt, die zu der Intranet- oder Arbeitsplatzzone gehören.