Abo
  • IT-Karriere:

Binary Planting

Windows-Sicherheitslücke betrifft dutzende Anwendungen

Die Art und Weise, wie Anwendungen DLL-Dateien behandeln, hat weitreichende Folgen für die Sicherheit von Windows. Zahlreiche Anwendungen können zum Einschleusen und Ausführen von Schadcode missbraucht werden, wenn die Entwickler beim Nachladen von DLLs nicht aufgepasst haben. Viel Schutz gibt es nicht, zudem ist der veröffentlichte Workaround kompliziert in der Handhabung.

Artikel veröffentlicht am ,

Mehrere Anwendungen sind von einer kritischen Sicherheitslücke bei der DLL-Behandlung betroffen, die es erlaubt, Schadcode auszuführen. Microsoft bestätigt Berichte von Sicherheitsforschern, laut denen Anwendungen, die DLL-Dateien in unsicherer Art und Weise nachladen, anfällig sind.

Stellenmarkt
  1. BWI GmbH, Wilhelmshaven
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn

Gegenüber The Register hat ein Sicherheitsexperte die Vermutung geäußert, dass etwa 200 Anwendungen von der Sicherheitslücke betroffen sind.

Das Risiko der Sicherheitslücke ist von den Einstellungen des Anwenders abhängig. Möglicher Schadcode wird im Kontext des Nutzers ausgeführt. Wer also seine Rechte einschränkt oder wessen Rechte durch andere eingeschränkt wurden, kann nicht besonders tief mit Schadcode in ein System eindringen. Für eine Verbreitung des Schadcodes dürfte dies in vielen Fällen trotzdem ausreichen.

Problematisch sind Anwendungen, die höhere Rechte erfordern, und davon gibt es auch heute noch einige. Wer sogar grundsätzlich mit Administratorrechten arbeitet, macht es dem Angreifer besonders einfach.

Für einen erfolgreichen Angriff muss der Nutzer dazu gebracht werden, ein SMB-Netzlaufwerk oder auch ein WebDAV-Laufwerk zu nutzen, auf dem der Schadcode abgelegt wurde. Angriffe sollen sich aber nicht nur auf diese beiden Protokolltypen beschränken. Für einen erfolgreichen Angriff genügt es, eine ungefährliche Datei - beispielsweise eine MP3-Datei oder ein Office-Dokument - zu öffnen. Neben dieser Datei liegt im selben Verzeichnis eine unauffällige Bibliothek, die anfällige Anwendungen Schadcode ausführen lässt. Diese DLL-Datei wird gegebenenfalls automatisch geladen, wenn die Anwendung nicht nach der DLL mit einer Pfadangabe sucht (fully qualified path). In dem Fall sucht die Anwendung nach der DLL in Verzeichnissen des sogenannten DLL Search Path, der das derzeitige Arbeitsverzeichnis mit einschließt.

Das Design des Betriebssystems erlaubt es Microsoft nicht, das Problem selbst zu beheben. Es ist vorgesehen, dass Anwendungen bei Bedarf DLLs im Arbeitsverzeichnis direkt nachladen können. Entwickler müssen aber sicherstellen, dass DLL-Dateien und deren Pfade korrekt behandelt werden. Würde Microsoft dieses Verhalten wegpatchen, hätte das zur Folge, dass zahlreiche Anwendungen nicht mehr funktionieren würden.

Viele Updates zu erwarten

Einen Ausweg gibt es nur durch die Entwickler betroffener Anwendungen. Sie müssen überprüfen, ob ihre Anwendungen den Development Best Practices folgen. Aufgrund der Masse der betroffenen Anwendungen müssen sich Nutzer wohl auf viele Updates in den kommenden Wochen einrichten. Der Anwender selbst hat wenig Chancen, anfällige Programme selbst aufzuspüren.

Microsoft will jetzt die eigenen Anwendungen auf die Schwachstelle hin überprüfen. Außerdem existiert ein Mitigation Tool, das die Problematik zumindest abschwächen soll. Das Tool erstellt in der Registrierung einen Eintrag mit dem Namen CWDIllegalInDllSearch. Dieser Registrierungseintrag erlaubt es, gezielt den DLL Search Path für Anwendungen einzuschränken. Auch global können Einschränkungen gesetzt werden. Sie erfordern vom Anwender allerdings Erfahrung im Umgang mit dem Registrierungseditor.

Von der Anleitung des Mitigation Tools gibt es auch eine deutsche Übersetzung, der derzeit jedoch die Downloadlinks fehlen. Das Mitigation Tool gibt es für Windows XP SP3, Vista, 7 sowie die Servervarianten 2003, 2008 und 2008 R2.

Microsoft beschreibt das Problem im Detail im Blog Security Research & Defense und im Security Advisory 2269637.



Anzeige
Hardware-Angebote
  1. 83,90€
  2. (u. a. Grafikkarten, Monitore, Mainboards)
  3. 469,00€

Verwirrt 31. Aug 2010

Wo bringt dich ein unzuverlässiger denn weiter? Klingt ja wie wenn du die Verwendung von...

Verwirrt 31. Aug 2010

Typisch: Irgendeinen ahnungslosen Blödsinn in ein Forum rotzen und dann zu feige für eine AW

fisch 28. Aug 2010

hmm nforce2 ist auch schon sehr alt

Der Erklärbär 26. Aug 2010

... nö. Is im Prinzip identisch. Mal abgesehen von Abhängigkeiten und Angriffsvektoren...

pagefault 25. Aug 2010

"." implizit im Suchpfad für shared libraries IST halt eine schlechte Idee. Weiß man seit...


Folgen Sie uns
       


OnePlus 7 Pro - Test

Das Oneplus 7 Pro hat uns im Test mit seiner guten Dreifachkamera, dem großen Display und einer gelungenen Mischung aus hochwertiger Hardware und gut laufender Software überzeugt.

OnePlus 7 Pro - Test Video aufrufen
e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  2. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden
  3. Zellproduktion EU macht Druck auf Altmaier wegen Batteriezellenfabrik

    •  /