Binary Planting

Fehlende DLLs vereinfachen Angriffe auf Anwendungen

Die Zahl der vom Binary Planting betroffenen Anwendungen wächst stetig und es tut sich ein grundsätzliches Problem auf: Viele Programme rufen DLLs auf, die gar nicht existieren. Dann hilft auch Microsofts SafeDLLSearch nicht.

Artikel veröffentlicht am ,

In der Exploit-Datenbank tauchen immer mehr Windows-Anwendungen auf, die für das sogenannte Binary Planting anfällig sind. Mittlerweile sind es mehr als 50 Anwendungen. Allerdings ist bisher nur ein kleiner Teil der Exploits von den Machern der Exploit-DB bereits verifiziert worden. Zu den Neuzugängen gehören unter anderem Winamp, der Media Player Classic und der VLC Media Player - wichtige und vor allem weit verbreitete Multimediasoftware. Weitere bekannte Neulinge sind Google Earth, ein Nvidia-Treiber und Safari.

Inhalt:
  1. Binary Planting: Fehlende DLLs vereinfachen Angriffe auf Anwendungen
  2. Voll gepatchtes System mit fehlenden DLLs

Sie alle leiden ersten Tests zufolge darunter, dass Windows fehlende DLLs auch im Arbeitsverzeichnis suchen lässt. Damit das nicht zu früh passiert, gibt es seit Windows XP SP1 den Modus SafeDLLSearch. Damit suchen Programme erst sehr spät im Arbeitsverzeichnis, in dem beispielsweise die zu öffnende Text- oder Musikdatei steckt. Mit global deaktivierter SafeDLLSearch wird konzeptbedingt nach dem Programmverzeichnis das Arbeitsverzeichnis nach fehlenden DLLs durchsucht, also weit vor den Systemverzeichnissen von Windows.

Programme rufen seltene DLLs auf

Nun stellt sich jedoch heraus, dass viele Anwendungen DLLs aufrufen, die mitunter gar nicht existieren, weil entsprechende Komponenten fehlen. Vielleicht sind es auch Altlasten, die die Entwickler schlicht vergessen haben. In so einem Falle hilft auch SafeDLLSearch nicht, beim Aufruf einer Datei wird trotzdem in genau diesem Verzeichnis nach der passenden DLL gesucht. Das vereinfacht Angriffe, insbesondere, wenn ein Verzeichnis von mehreren Personen benutzt wird, wie das bei Netzlaufwerken häufig der Fall ist. Die Angriffe werden aber nur im Kontext des Nutzers durchgeführt. Wer nur die Rechte eines Standardnutzers hat, kann eine Infektion nicht tief ins System einschleusen.

Hochproblematische Beispiele gibt es mittlerweile genug: Programme wie Thunderbird, Firefox oder Teamviewer suchen nach einer Bibliothek mit dem Namen dwmapi.dll (für Vista interessant), VLC sucht nach einer wintab32.dll (wichtig für Tablets) und der Media Player Classic sucht eine iacenc.dll von Intel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Voll gepatchtes System mit fehlenden DLLs 
  1. 1
  2. 2
  3.  


j.ody 10. Aug 2011

Das Problem der Schadsoftware liegt doch eigentlich woanders. Es ist unter Windows doch...

asdfasdf2 28. Aug 2010

Portable Apps, auf einem USB-Stick ?

w wie windows 27. Aug 2010

Sagt wer? Quelle bitte! :) Aha, du glaubst also das ein Otto-Normal User AHnung hat, wo...

Lala Satalin... 27. Aug 2010

Und wie soll die DLL nun in das Verzeichnis kommen? Das kann ja nur durch Net-Shares...

Lala Satalin... 26. Aug 2010

Und was ist, wenn du den Status ändern willst, weil du beispielsweise aufeinmal ein...



Aktuell auf der Startseite von Golem.de
Open Source
"Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Open Source: Antworten Sie innerhalb von 24 Stunden
Artikel
  1. Electronic Arts: Respawn kündigt drei Star-Wars-Spiele an
    Electronic Arts
    Respawn kündigt drei Star-Wars-Spiele an

    Ein Ego-Shooter, ein Strategiespiel und Jedi Fallen Order 2: Das Entwicklerstudio Respawn arbeitet an drei Spielen auf Basis von Star Wars.

  2. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

  3. Konsumenten-Studie: Elektroauto-Interesse steigt und hängt vom Strompreis ab
    Konsumenten-Studie
    Elektroauto-Interesse steigt und hängt vom Strompreis ab

    Die hohen Benzinkosten geben dem Interesse an der Elektromobilität Aufwind, so eine Studie. Allerdings werden utopisch hohe Reichweiten gefordert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Palit RTX 3080 12GB 1.548,96€ • Acer Curved Gaming-Monitor 27" 259€ • Corsair 16GB DDR4-4000 111,21€ • MindStar (u.a. 8GB DDR5-4800 89€) • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ • 4 Blu-rays für 22€ [Werbung]
    •  /