Voll gepatchtes System mit fehlenden DLLs

Auf unserem Windows-7-Testsystem ist von diesen drei DLLs nur eine tatsächlich enthalten. Wintab32.dll und iacenc.dll fehlen einfach und damit ist unser System anfällig für das Binary Planting, unabhängig davon, ob nun SafeDLLSearch aktiv ist oder nicht. Die dwmapi.dll ist natürlich unter Windows 7 vorhanden. Interessant an dieser sind allerdings die Abhängigkeiten und die damit verbundenen Probleme. Ob eine Windows-DLL eine andere DLL braucht, muss ein Entwickler nicht unbedingt wissen, schließlich teilen sich mehrere Entwickler idealerweise eine DLL. Der Dependency-Walker hilft aber dabei, dies herauszufinden.

Stellenmarkt
  1. Cloud-Server-Administrator (m/w/d) Microsoft
    Mainova AG, Frankfurt am Main
  2. Technical Support Analyst (m/w/d)
    Homann Feinkost GmbH, Bad Essen, Lintorf
Detailsuche

Wer nach diesen und anderen DLLs in einer Suchmaschine stöbert, wird schnell feststellen, dass das Problem weit verbreitet ist. Es existieren allein bei den drei genannten DLLs hunderte Hilfestellungen für Entwickler und Anwender. Einige DLLs fehlen sogar so häufig, dass es Downloadangebote gibt. In einigen Foren finden sich sogar Hinweise für Entwickler, die besagen, dass eine fehlende DLL unproblematisch ist, da sie vom Programm einfach nicht geladen wird. Aus Sicht eines Entwicklers durchaus praktisch; aus Sicht eines Malware-Autors mittlerweile auch.

Nicht alle Exploits, die bisher als Machbarkeitsstudie aufgetaucht sind, nutzen das Arbeitsverzeichnis. Im Falle von Putty muss die DLL im Programmverzeichnis abgelegt werden. Nun haben Anwendungen wie Putty aber eine Besonderheit: Es sind kleine Exe-Dateien, die Anwender gerne einfach irgendwo ablegen, vielleicht sogar mal in einem Netzlaufwerk für besonders praktische Programme. Hier sind Angriffsszenarien zumindest denkbar, allerdings unwahrscheinlich.

Kein Patch in Sicht

Einen Patch wird es von Microsoft voraussichtlich nicht geben. Nach fehlenden DLLs im Arbeitsverzeichnis zu suchen, ist eine Funktion von Windows, die nicht einfach weggepatcht werden kann, so Microsoft. Solche Angriffe sind demzufolge konzeptbedingt möglich.

Golem Akademie
  1. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

Abschwächen lassen sich Angriffe durch eingeschränkte Rechte. Insbesondere in Netzwerken, bei denen eventuell andere Anwender die Quelle wichtiger Dateien verseuchen, ist das wichtig. Bei jedem Dateiaufruf in einem Verzeichnis für Mediendateien nach verdächtigen DLLs zu suchen, dürfte die meisten überfordern.

Nur erfahrene Anwender können sich schützen

Echten Schutz gibt es erst durch einen neuen Registrierungseintrag, der aber nur für erfahrene Nutzer eine Hilfe ist. Endanwender können sich nur schlecht schützen, insbesondere wenn sie für Social-Engineering-Angriffe anfällig und im Glauben sind, Dateiendungen wie .mp3 seien harmlos. Ab jetzt müssen Dateiendungen auch im Kontext der Umgebung betrachtet werden. So ließe sich ausschließen, dass etwas passiert.

Aufgrund der hohen Anzahl der anfälligen Programme muss derzeit davon ausgegangen werden, dass nicht alle Sicherheitsprobleme in den Anwendungen beseitigt werden. Allenfalls Programme, an denen noch aktiv gearbeitet wird, werden wohl dahingehend überprüft. Selbst dann besteht aber die Möglichkeit, dass die Programme eine DLL eines anderen Herstellers nutzen, die selbst Probleme mit fehlenden Bibliotheken hat.

Das Internet Storm Center meldet derweil erste echte Angriffe unter Ausnutzung der Möglichkeiten, die Windows bietet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Binary Planting: Fehlende DLLs vereinfachen Angriffe auf Anwendungen
  1.  
  2. 1
  3. 2


j.ody 10. Aug 2011

Das Problem der Schadsoftware liegt doch eigentlich woanders. Es ist unter Windows doch...

asdfasdf2 28. Aug 2010

Portable Apps, auf einem USB-Stick ?

w wie windows 27. Aug 2010

Sagt wer? Quelle bitte! :) Aha, du glaubst also das ein Otto-Normal User AHnung hat, wo...

Lala Satalin... 27. Aug 2010

Und wie soll die DLL nun in das Verzeichnis kommen? Das kann ja nur durch Net-Shares...

Lala Satalin... 26. Aug 2010

Und was ist, wenn du den Status ändern willst, weil du beispielsweise aufeinmal ein...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /