• IT-Karriere:
  • Services:

Binary Planting

Windows-Sicherheitslücke betrifft dutzende Anwendungen

Die Art und Weise, wie Anwendungen DLL-Dateien behandeln, hat weitreichende Folgen für die Sicherheit von Windows. Zahlreiche Anwendungen können zum Einschleusen und Ausführen von Schadcode missbraucht werden, wenn die Entwickler beim Nachladen von DLLs nicht aufgepasst haben. Viel Schutz gibt es nicht, zudem ist der veröffentlichte Workaround kompliziert in der Handhabung.

Artikel veröffentlicht am ,

Mehrere Anwendungen sind von einer kritischen Sicherheitslücke bei der DLL-Behandlung betroffen, die es erlaubt, Schadcode auszuführen. Microsoft bestätigt Berichte von Sicherheitsforschern, laut denen Anwendungen, die DLL-Dateien in unsicherer Art und Weise nachladen, anfällig sind.

Stellenmarkt
  1. McFIT GmbH & Co. KG, Berlin
  2. Hays AG, Nürnberg

Gegenüber The Register hat ein Sicherheitsexperte die Vermutung geäußert, dass etwa 200 Anwendungen von der Sicherheitslücke betroffen sind.

Das Risiko der Sicherheitslücke ist von den Einstellungen des Anwenders abhängig. Möglicher Schadcode wird im Kontext des Nutzers ausgeführt. Wer also seine Rechte einschränkt oder wessen Rechte durch andere eingeschränkt wurden, kann nicht besonders tief mit Schadcode in ein System eindringen. Für eine Verbreitung des Schadcodes dürfte dies in vielen Fällen trotzdem ausreichen.

Problematisch sind Anwendungen, die höhere Rechte erfordern, und davon gibt es auch heute noch einige. Wer sogar grundsätzlich mit Administratorrechten arbeitet, macht es dem Angreifer besonders einfach.

Für einen erfolgreichen Angriff muss der Nutzer dazu gebracht werden, ein SMB-Netzlaufwerk oder auch ein WebDAV-Laufwerk zu nutzen, auf dem der Schadcode abgelegt wurde. Angriffe sollen sich aber nicht nur auf diese beiden Protokolltypen beschränken. Für einen erfolgreichen Angriff genügt es, eine ungefährliche Datei - beispielsweise eine MP3-Datei oder ein Office-Dokument - zu öffnen. Neben dieser Datei liegt im selben Verzeichnis eine unauffällige Bibliothek, die anfällige Anwendungen Schadcode ausführen lässt. Diese DLL-Datei wird gegebenenfalls automatisch geladen, wenn die Anwendung nicht nach der DLL mit einer Pfadangabe sucht (fully qualified path). In dem Fall sucht die Anwendung nach der DLL in Verzeichnissen des sogenannten DLL Search Path, der das derzeitige Arbeitsverzeichnis mit einschließt.

Das Design des Betriebssystems erlaubt es Microsoft nicht, das Problem selbst zu beheben. Es ist vorgesehen, dass Anwendungen bei Bedarf DLLs im Arbeitsverzeichnis direkt nachladen können. Entwickler müssen aber sicherstellen, dass DLL-Dateien und deren Pfade korrekt behandelt werden. Würde Microsoft dieses Verhalten wegpatchen, hätte das zur Folge, dass zahlreiche Anwendungen nicht mehr funktionieren würden.

Viele Updates zu erwarten

Einen Ausweg gibt es nur durch die Entwickler betroffener Anwendungen. Sie müssen überprüfen, ob ihre Anwendungen den Development Best Practices folgen. Aufgrund der Masse der betroffenen Anwendungen müssen sich Nutzer wohl auf viele Updates in den kommenden Wochen einrichten. Der Anwender selbst hat wenig Chancen, anfällige Programme selbst aufzuspüren.

Microsoft will jetzt die eigenen Anwendungen auf die Schwachstelle hin überprüfen. Außerdem existiert ein Mitigation Tool, das die Problematik zumindest abschwächen soll. Das Tool erstellt in der Registrierung einen Eintrag mit dem Namen CWDIllegalInDllSearch. Dieser Registrierungseintrag erlaubt es, gezielt den DLL Search Path für Anwendungen einzuschränken. Auch global können Einschränkungen gesetzt werden. Sie erfordern vom Anwender allerdings Erfahrung im Umgang mit dem Registrierungseditor.

Von der Anleitung des Mitigation Tools gibt es auch eine deutsche Übersetzung, der derzeit jedoch die Downloadlinks fehlen. Das Mitigation Tool gibt es für Windows XP SP3, Vista, 7 sowie die Servervarianten 2003, 2008 und 2008 R2.

Microsoft beschreibt das Problem im Detail im Blog Security Research & Defense und im Security Advisory 2269637.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Fallout 76 für 14,99€, Fallout 4: Game of the Year Edition für 16,99€, Fallout 4 VR...
  2. FIFA 21 Standard Edition PS4 (inkl. kostenlosem PS5-Upgrade) für 55€, FIFA 21 Standard Edition...
  3. (u. a. Code Vein für 21,99€, Dark Souls 3 - Deluxe Edition für 18,99€, Ni no Kuni 2: Revenant...

Verwirrt 31. Aug 2010

Wo bringt dich ein unzuverlässiger denn weiter? Klingt ja wie wenn du die Verwendung von...

Verwirrt 31. Aug 2010

Typisch: Irgendeinen ahnungslosen Blödsinn in ein Forum rotzen und dann zu feige für eine AW

fisch 28. Aug 2010

hmm nforce2 ist auch schon sehr alt

Der Erklärbär 26. Aug 2010

... nö. Is im Prinzip identisch. Mal abgesehen von Abhängigkeiten und Angriffsvektoren...

pagefault 25. Aug 2010

"." implizit im Suchpfad für shared libraries IST halt eine schlechte Idee. Weiß man seit...


Folgen Sie uns
       


Porsche Taycan Probe gefahren

Der Taycan ist klar als Mitglied der Porsche-Familie erkennbar. Das Design weist Elemente sowohl des aktuellen 911er (Baureihe 992), des Cayman sowie des Panamera auf.

Porsche Taycan Probe gefahren Video aufrufen
Cyberbunker-Prozess: Die Darknet-Schaltzentrale über den Weinbergen
Cyberbunker-Prozess
Die Darknet-Schaltzentrale über den Weinbergen

Am Montag beginnt der Prozess gegen die Cyberbunker-Betreiber von der Mittelmosel. Dahinter verbirgt sich eine wilde Geschichte von "bunkergeilen" Internetanarchos bis zu polizeilich gefakten Darknet-Seiten.
Eine Recherche von Friedhelm Greis

  1. Darkweb 179 mutmaßliche Darknet-Händler festgenommen
  2. Marktplatz im Darknet Mutmaßliche Betreiber des Wall Street Market angeklagt
  3. Illegaler Onlinehandel Admin des Darknet-Shops Fraudsters muss hinter Gitter

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

    •  /