Binary Planting: Microsofts Workaround lässt einzelne Anwendungen ausfallen
Microsofts einziger Workaround(öffnet im neuen Fenster) für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnisses einige Programme von Microsoft nicht mehr(öffnet im neuen Fenster) und auch der Steamservice fällt anschließend aus(öffnet im neuen Fenster) . Zudem soll das Java-Plugin nicht mehr korrekt arbeiten(öffnet im neuen Fenster) .
Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL-Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel waren mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.
Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.
Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht(öffnet im neuen Fenster) . Zahlreiche andere Programme bleiben weiterhin anfällig.
Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat(öffnet im neuen Fenster) . Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs(öffnet im neuen Fenster) nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm(öffnet im neuen Fenster) eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.
Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be(öffnet im neuen Fenster) . Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs , die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.