• IT-Karriere:
  • Services:

Binary Planting

Einschleusen von EXE-Dateien möglich

Auch EXE-Dateien sind vom sogenannten Binary Planting unter Windows betroffen. Die Reihenfolge der Suchpfade beim Laden von ausführbaren Dateien beginnt in den meisten Fällen im jeweiligen Arbeitsverzeichnis. Im Gegensatz zu DLLs könnte eine schadhafte EXE-Datei mehrfach im System vorkommen.

Artikel veröffentlicht am ,

Die Reihenfolge der Suchpfade beim Aufruf von ausführbaren Dateien beginnt im Gegensatz zu DLL-Dateien meist im aktuellen Arbeitsverzeichnis oder im Pfad der ursprünglich geladenen Anwendung. Die oftmals undokumentierte Reihenfolge lässt sich laut den Entwicklern bei Arcos Security mit dem Process-Monitor aus der Werkzeugsammlung von Sysinternals beobachten.

Stellenmarkt
  1. HerkulesGroup Services GmbH, Meuselwitz, Siegen
  2. Eurowings Aviation GmbH, Köln

Als Beispiel nennt das Arcos-Security-Team die Funktionen CreateProcess*, WinExec und LoadModule, die zunächst im gleichen Verzeichnis, dann im derzeitigen Arbeitsverzeichnis und erst danach in den Windows-Systemverzeichnissen nach einer zu startenden EXE-Datei suchen. Damit ist die Reihenfolge mit der ursprünglich von LoadLibrary* für DLLs verwendeten identisch, bevor die heute gebräuchliche sicherere Reihenfolge eingeführt wurde.

Sollte in den ersten zwei Verzeichnissen beispielsweise eine schadhafte EXE-Datei lauern und den Namen einer bekannten Windows-Datei tragen, etwa Calc.exe, wird diese vor der eigentlichen Calc.exe im Windows-Verzeichnis gestartet. Die ausführbaren Dateien können auch in Netzwerkpfaden liegen. Zudem erhält der Anwender keinerlei Sicherheitshinweise beim Aufruf über die genannten Funktionen. Auch bei Aufrufen über die Funktionen _spawn*p* and _exec*p* erhält der Anwender keinerlei Warnungen. Dort beginnt die Suche allerdings schon im jeweiligen Arbeitsverzeichnis.

Beim Aufruf über die Funktion ShellExecute* beginnt die Suche ebenfalls im derzeitigen Arbeitsverzeichnis, bevor nach den entsprechenden Dateien in den Windows-System-Verzeichnissen gesucht wird. Hier erhält der Anwender zumindest dann einen Warnung, wenn die ausführbare Datei aus der Internetzone gestartet wird, nicht aber, wenn die entsprechende Datei in Pfaden liegt, die zu der Intranet- oder Arbeitsplatzzone gehören.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. PGA Tour 2K21 - Deluxe Edition [EU Key] für 26,99€, No Man's Sky für 14,99€)
  2. (u. a. Gainward GeForce RTX 3060 Ti Ghost OC 509€, GIGABYTE GeForce RTX 3080 Gaming OC 10G für...
  3. (u. a. Zotac GAMING GeForce RTX 3060 Ti Twin Edge OC für 545,50€)

Himuralibima 10. Sep 2010

Finde ich nicht. Wenn ich im Arbeitsverzeichnis schon ausführbare Programme habe, dann...

Lala Satalin... 10. Sep 2010

Genau. Also alles nur reine Panikmache.

QDOS 10. Sep 2010

gibts heute noch GNU/Linuxe wo "." direkt in $PATH steht?

Der Kaiser! 09. Sep 2010

Da gabs schon Linux? o.O

Lala Satalin... 09. Sep 2010

Ich habe leider keine VM parat. Dank dem Binary Planting Patch läuft bei mir Virtual Box...


Folgen Sie uns
       


Panasonic LUMIX DC-S5 im Hands on

Klein in der Hand, voll im Format - wir haben uns die neue Kamera von Panasonic angesehen.

Panasonic LUMIX DC-S5 im Hands on Video aufrufen
    •  /