• IT-Karriere:
  • Services:

Binary Planting

Windows-Sicherheitslücke betrifft dutzende Anwendungen

Die Art und Weise, wie Anwendungen DLL-Dateien behandeln, hat weitreichende Folgen für die Sicherheit von Windows. Zahlreiche Anwendungen können zum Einschleusen und Ausführen von Schadcode missbraucht werden, wenn die Entwickler beim Nachladen von DLLs nicht aufgepasst haben. Viel Schutz gibt es nicht, zudem ist der veröffentlichte Workaround kompliziert in der Handhabung.

Artikel veröffentlicht am ,

Mehrere Anwendungen sind von einer kritischen Sicherheitslücke bei der DLL-Behandlung betroffen, die es erlaubt, Schadcode auszuführen. Microsoft bestätigt Berichte von Sicherheitsforschern, laut denen Anwendungen, die DLL-Dateien in unsicherer Art und Weise nachladen, anfällig sind.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main

Gegenüber The Register hat ein Sicherheitsexperte die Vermutung geäußert, dass etwa 200 Anwendungen von der Sicherheitslücke betroffen sind.

Das Risiko der Sicherheitslücke ist von den Einstellungen des Anwenders abhängig. Möglicher Schadcode wird im Kontext des Nutzers ausgeführt. Wer also seine Rechte einschränkt oder wessen Rechte durch andere eingeschränkt wurden, kann nicht besonders tief mit Schadcode in ein System eindringen. Für eine Verbreitung des Schadcodes dürfte dies in vielen Fällen trotzdem ausreichen.

Problematisch sind Anwendungen, die höhere Rechte erfordern, und davon gibt es auch heute noch einige. Wer sogar grundsätzlich mit Administratorrechten arbeitet, macht es dem Angreifer besonders einfach.

Für einen erfolgreichen Angriff muss der Nutzer dazu gebracht werden, ein SMB-Netzlaufwerk oder auch ein WebDAV-Laufwerk zu nutzen, auf dem der Schadcode abgelegt wurde. Angriffe sollen sich aber nicht nur auf diese beiden Protokolltypen beschränken. Für einen erfolgreichen Angriff genügt es, eine ungefährliche Datei - beispielsweise eine MP3-Datei oder ein Office-Dokument - zu öffnen. Neben dieser Datei liegt im selben Verzeichnis eine unauffällige Bibliothek, die anfällige Anwendungen Schadcode ausführen lässt. Diese DLL-Datei wird gegebenenfalls automatisch geladen, wenn die Anwendung nicht nach der DLL mit einer Pfadangabe sucht (fully qualified path). In dem Fall sucht die Anwendung nach der DLL in Verzeichnissen des sogenannten DLL Search Path, der das derzeitige Arbeitsverzeichnis mit einschließt.

Das Design des Betriebssystems erlaubt es Microsoft nicht, das Problem selbst zu beheben. Es ist vorgesehen, dass Anwendungen bei Bedarf DLLs im Arbeitsverzeichnis direkt nachladen können. Entwickler müssen aber sicherstellen, dass DLL-Dateien und deren Pfade korrekt behandelt werden. Würde Microsoft dieses Verhalten wegpatchen, hätte das zur Folge, dass zahlreiche Anwendungen nicht mehr funktionieren würden.

Viele Updates zu erwarten

Einen Ausweg gibt es nur durch die Entwickler betroffener Anwendungen. Sie müssen überprüfen, ob ihre Anwendungen den Development Best Practices folgen. Aufgrund der Masse der betroffenen Anwendungen müssen sich Nutzer wohl auf viele Updates in den kommenden Wochen einrichten. Der Anwender selbst hat wenig Chancen, anfällige Programme selbst aufzuspüren.

Microsoft will jetzt die eigenen Anwendungen auf die Schwachstelle hin überprüfen. Außerdem existiert ein Mitigation Tool, das die Problematik zumindest abschwächen soll. Das Tool erstellt in der Registrierung einen Eintrag mit dem Namen CWDIllegalInDllSearch. Dieser Registrierungseintrag erlaubt es, gezielt den DLL Search Path für Anwendungen einzuschränken. Auch global können Einschränkungen gesetzt werden. Sie erfordern vom Anwender allerdings Erfahrung im Umgang mit dem Registrierungseditor.

Von der Anleitung des Mitigation Tools gibt es auch eine deutsche Übersetzung, der derzeit jedoch die Downloadlinks fehlen. Das Mitigation Tool gibt es für Windows XP SP3, Vista, 7 sowie die Servervarianten 2003, 2008 und 2008 R2.

Microsoft beschreibt das Problem im Detail im Blog Security Research & Defense und im Security Advisory 2269637.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. FIFA 20 Xbox One 33,99€, Terminator Resistance 24,49€)
  2. (heute u. a. Philips Hue Topseller, Philips Wake-up Lights, Samsung Galaxy Tab S6)
  3. 0,00€
  4. 44,90€ (Bestpreis!)

Verwirrt 31. Aug 2010

Wo bringt dich ein unzuverlässiger denn weiter? Klingt ja wie wenn du die Verwendung von...

Verwirrt 31. Aug 2010

Typisch: Irgendeinen ahnungslosen Blödsinn in ein Forum rotzen und dann zu feige für eine AW

fisch 28. Aug 2010

hmm nforce2 ist auch schon sehr alt

Der Erklärbär 26. Aug 2010

... nö. Is im Prinzip identisch. Mal abgesehen von Abhängigkeiten und Angriffsvektoren...

pagefault 25. Aug 2010

"." implizit im Suchpfad für shared libraries IST halt eine schlechte Idee. Weiß man seit...


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Staupilot: Der Zulassungsstau löst sich langsam auf
    Staupilot
    Der Zulassungsstau löst sich langsam auf

    Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
    Ein Bericht von Friedhelm Greis

    1. San José Bosch und Daimler starten autonomen Taxidienst
    2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
    3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

    Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
    Mobile-Games-Auslese
    Märchen-Diablo für Mobile-Geräte

    "Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
    Von Rainer Sigl

    1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
    2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
    3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

      •  /