Abo
  • Services:

Binary Planting

Einschleusen von EXE-Dateien möglich

Auch EXE-Dateien sind vom sogenannten Binary Planting unter Windows betroffen. Die Reihenfolge der Suchpfade beim Laden von ausführbaren Dateien beginnt in den meisten Fällen im jeweiligen Arbeitsverzeichnis. Im Gegensatz zu DLLs könnte eine schadhafte EXE-Datei mehrfach im System vorkommen.

Artikel veröffentlicht am ,

Die Reihenfolge der Suchpfade beim Aufruf von ausführbaren Dateien beginnt im Gegensatz zu DLL-Dateien meist im aktuellen Arbeitsverzeichnis oder im Pfad der ursprünglich geladenen Anwendung. Die oftmals undokumentierte Reihenfolge lässt sich laut den Entwicklern bei Arcos Security mit dem Process-Monitor aus der Werkzeugsammlung von Sysinternals beobachten.

Stellenmarkt
  1. Giesecke+Devrient 3S GmbH, München
  2. Protea Networks GmbH, Unterhaching

Als Beispiel nennt das Arcos-Security-Team die Funktionen CreateProcess*, WinExec und LoadModule, die zunächst im gleichen Verzeichnis, dann im derzeitigen Arbeitsverzeichnis und erst danach in den Windows-Systemverzeichnissen nach einer zu startenden EXE-Datei suchen. Damit ist die Reihenfolge mit der ursprünglich von LoadLibrary* für DLLs verwendeten identisch, bevor die heute gebräuchliche sicherere Reihenfolge eingeführt wurde.

Sollte in den ersten zwei Verzeichnissen beispielsweise eine schadhafte EXE-Datei lauern und den Namen einer bekannten Windows-Datei tragen, etwa Calc.exe, wird diese vor der eigentlichen Calc.exe im Windows-Verzeichnis gestartet. Die ausführbaren Dateien können auch in Netzwerkpfaden liegen. Zudem erhält der Anwender keinerlei Sicherheitshinweise beim Aufruf über die genannten Funktionen. Auch bei Aufrufen über die Funktionen _spawn*p* and _exec*p* erhält der Anwender keinerlei Warnungen. Dort beginnt die Suche allerdings schon im jeweiligen Arbeitsverzeichnis.

Beim Aufruf über die Funktion ShellExecute* beginnt die Suche ebenfalls im derzeitigen Arbeitsverzeichnis, bevor nach den entsprechenden Dateien in den Windows-System-Verzeichnissen gesucht wird. Hier erhält der Anwender zumindest dann einen Warnung, wenn die ausführbare Datei aus der Internetzone gestartet wird, nicht aber, wenn die entsprechende Datei in Pfaden liegt, die zu der Intranet- oder Arbeitsplatzzone gehören.



Anzeige
Spiele-Angebote
  1. 19,99€
  2. (-75%) 14,99€
  3. (-58%) 24,99€

Himuralibima 10. Sep 2010

Finde ich nicht. Wenn ich im Arbeitsverzeichnis schon ausführbare Programme habe, dann...

Lala Satalin... 10. Sep 2010

Genau. Also alles nur reine Panikmache.

QDOS 10. Sep 2010

gibts heute noch GNU/Linuxe wo "." direkt in $PATH steht?

Der Kaiser! 09. Sep 2010

Da gabs schon Linux? o.O

Lala Satalin... 09. Sep 2010

Ich habe leider keine VM parat. Dank dem Binary Planting Patch läuft bei mir Virtual Box...


Folgen Sie uns
       


Golem.de bastelt, spielt und entdeckt Nintendo Labo

Nintendo Labo soll mehr sein als eine neue Videospielmarke. Auf dem Anspiel-Event in Hamburg haben wir gebastelt, gespielt und die Funktionsweise von Karton-Klavier bis Robo-Rucksack erkundet.

Golem.de bastelt, spielt und entdeckt Nintendo Labo Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
Ryzen 7 2700X im Test
AMDs Zen+ zieht gleich mit Intel

Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
  2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
  3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

    •  /