Binary Planting: Einschleusen von EXE-Dateien möglich

Auch EXE-Dateien sind vom sogenannten Binary Planting unter Windows betroffen. Die Reihenfolge der Suchpfade beim Laden von ausführbaren Dateien beginnt in den meisten Fällen im jeweiligen Arbeitsverzeichnis. Im Gegensatz zu DLLs könnte eine schadhafte EXE-Datei mehrfach im System vorkommen.

9. September 2010 um 10:38 Uhr / Jörg Thoma

84 Kommentare News folgen (öffnet im neuen Fenster)

Die Reihenfolge der Suchpfade beim Aufruf von ausführbaren Dateien beginnt im Gegensatz zu DLL-Dateien meist im aktuellen Arbeitsverzeichnis oder im Pfad der ursprünglich geladenen Anwendung. Die oftmals undokumentierte Reihenfolge lässt sich laut den Entwicklern bei Arcos Security(öffnet im neuen Fenster) mit dem Process-Monitor aus der Werkzeugsammlung von Sysinternals(öffnet im neuen Fenster) beobachten.

Als Beispiel nennt das Arcos-Security-Team(öffnet im neuen Fenster) die Funktionen CreateProcess* , WinExec und LoadModule , die zunächst im gleichen Verzeichnis, dann im derzeitigen Arbeitsverzeichnis und erst danach in den Windows-Systemverzeichnissen nach einer zu startenden EXE-Datei suchen. Damit ist die Reihenfolge mit der ursprünglich von LoadLibrary* für DLLs verwendeten identisch, bevor die heute gebräuchliche sicherere Reihenfolge eingeführt wurde.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: Microsoft Copilot im Unternehmen implementieren: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Windows Systemadministration: Das Master Toolkit für Windows 10 und 11 (E-Learning Paket mit 4 Kursen)

zum Kurs

Sollte in den ersten zwei Verzeichnissen beispielsweise eine schadhafte EXE-Datei lauern und den Namen einer bekannten Windows-Datei tragen, etwa Calc.exe, wird diese vor der eigentlichen Calc.exe im Windows-Verzeichnis gestartet. Die ausführbaren Dateien können auch in Netzwerkpfaden liegen. Zudem erhält der Anwender keinerlei Sicherheitshinweise beim Aufruf über die genannten Funktionen. Auch bei Aufrufen über die Funktionen _spawn*p* and _exec*p* erhält der Anwender keinerlei Warnungen. Dort beginnt die Suche allerdings schon im jeweiligen Arbeitsverzeichnis.

Beim Aufruf über die Funktion ShellExecute* beginnt die Suche ebenfalls im derzeitigen Arbeitsverzeichnis, bevor nach den entsprechenden Dateien in den Windows-System-Verzeichnissen gesucht wird. Hier erhält der Anwender zumindest dann einen Warnung, wenn die ausführbare Datei aus der Internetzone gestartet wird, nicht aber, wenn die entsprechende Datei in Pfaden liegt, die zu der Intranet- oder Arbeitsplatzzone gehören.

Zur Startseite 84 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen