Abo
  • Services:
Anzeige

Binary Planting

Einschleusen von EXE-Dateien möglich

Auch EXE-Dateien sind vom sogenannten Binary Planting unter Windows betroffen. Die Reihenfolge der Suchpfade beim Laden von ausführbaren Dateien beginnt in den meisten Fällen im jeweiligen Arbeitsverzeichnis. Im Gegensatz zu DLLs könnte eine schadhafte EXE-Datei mehrfach im System vorkommen.

Die Reihenfolge der Suchpfade beim Aufruf von ausführbaren Dateien beginnt im Gegensatz zu DLL-Dateien meist im aktuellen Arbeitsverzeichnis oder im Pfad der ursprünglich geladenen Anwendung. Die oftmals undokumentierte Reihenfolge lässt sich laut den Entwicklern bei Arcos Security mit dem Process-Monitor aus der Werkzeugsammlung von Sysinternals beobachten.

Anzeige

Als Beispiel nennt das Arcos-Security-Team die Funktionen CreateProcess*, WinExec und LoadModule, die zunächst im gleichen Verzeichnis, dann im derzeitigen Arbeitsverzeichnis und erst danach in den Windows-Systemverzeichnissen nach einer zu startenden EXE-Datei suchen. Damit ist die Reihenfolge mit der ursprünglich von LoadLibrary* für DLLs verwendeten identisch, bevor die heute gebräuchliche sicherere Reihenfolge eingeführt wurde.

Sollte in den ersten zwei Verzeichnissen beispielsweise eine schadhafte EXE-Datei lauern und den Namen einer bekannten Windows-Datei tragen, etwa Calc.exe, wird diese vor der eigentlichen Calc.exe im Windows-Verzeichnis gestartet. Die ausführbaren Dateien können auch in Netzwerkpfaden liegen. Zudem erhält der Anwender keinerlei Sicherheitshinweise beim Aufruf über die genannten Funktionen. Auch bei Aufrufen über die Funktionen _spawn*p* and _exec*p* erhält der Anwender keinerlei Warnungen. Dort beginnt die Suche allerdings schon im jeweiligen Arbeitsverzeichnis.

Beim Aufruf über die Funktion ShellExecute* beginnt die Suche ebenfalls im derzeitigen Arbeitsverzeichnis, bevor nach den entsprechenden Dateien in den Windows-System-Verzeichnissen gesucht wird. Hier erhält der Anwender zumindest dann einen Warnung, wenn die ausführbare Datei aus der Internetzone gestartet wird, nicht aber, wenn die entsprechende Datei in Pfaden liegt, die zu der Intranet- oder Arbeitsplatzzone gehören.


eye home zur Startseite
Himuralibima 10. Sep 2010

Finde ich nicht. Wenn ich im Arbeitsverzeichnis schon ausführbare Programme habe, dann...

Lala Satalin... 10. Sep 2010

Genau. Also alles nur reine Panikmache.

QDOS 10. Sep 2010

gibts heute noch GNU/Linuxe wo "." direkt in $PATH steht?

Der Kaiser! 09. Sep 2010

Da gabs schon Linux? o.O

Lala Satalin... 09. Sep 2010

Ich habe leider keine VM parat. Dank dem Binary Planting Patch läuft bei mir Virtual Box...



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. Landeshauptstadt München, München
  3. Robert Bosch GmbH, Schwieberdingen
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. 289€ (Bestpreis!)
  2. (u. a. ASUS ZenWatch 2 Silber/Braun für 79€ statt 142,90€ im Preisvergleich und WD externe 2...
  3. (u. a. SanDisk SSD Plus 240 GB für 69€)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Funktioniert nicht

    User_x | 03:12

  2. Re: Wenn eMail so kritisch ist....

    User_x | 02:53

  3. Re: "Das Eigenlob Trumps ließ nicht lange auf...

    FreierLukas | 02:48

  4. Re: Supercomputer sind wie Beton - es kommt drauf...

    Proctrap | 02:43

  5. Re: DOW Jones +30% in nur einem Jahr

    Garrona | 02:40


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel