Original-URL des Artikels: https://www.golem.de/1008/77496.html    Veröffentlicht: 26.08.2010 11:43    Kurz-URL: https://glm.io/77496

Binary Planting

Fehlende DLLs vereinfachen Angriffe auf Anwendungen

Die Zahl der vom Binary Planting betroffenen Anwendungen wächst stetig und es tut sich ein grundsätzliches Problem auf: Viele Programme rufen DLLs auf, die gar nicht existieren. Dann hilft auch Microsofts SafeDLLSearch nicht.

In der Exploit-Datenbank tauchen immer mehr Windows-Anwendungen auf, die für das sogenannte Binary Planting anfällig sind. Mittlerweile sind es mehr als 50 Anwendungen. Allerdings ist bisher nur ein kleiner Teil der Exploits von den Machern der Exploit-DB bereits verifiziert worden. Zu den Neuzugängen gehören unter anderem Winamp, der Media Player Classic und der VLC Media Player - wichtige und vor allem weit verbreitete Multimediasoftware. Weitere bekannte Neulinge sind Google Earth, ein Nvidia-Treiber und Safari.

Sie alle leiden ersten Tests zufolge darunter, dass Windows fehlende DLLs auch im Arbeitsverzeichnis suchen lässt. Damit das nicht zu früh passiert, gibt es seit Windows XP SP1 den Modus SafeDLLSearch. Damit suchen Programme erst sehr spät im Arbeitsverzeichnis, in dem beispielsweise die zu öffnende Text- oder Musikdatei steckt. Mit global deaktivierter SafeDLLSearch wird konzeptbedingt nach dem Programmverzeichnis das Arbeitsverzeichnis nach fehlenden DLLs durchsucht, also weit vor den Systemverzeichnissen von Windows.

Programme rufen seltene DLLs auf

Nun stellt sich jedoch heraus, dass viele Anwendungen DLLs aufrufen, die mitunter gar nicht existieren, weil entsprechende Komponenten fehlen. Vielleicht sind es auch Altlasten, die die Entwickler schlicht vergessen haben. In so einem Falle hilft auch SafeDLLSearch nicht, beim Aufruf einer Datei wird trotzdem in genau diesem Verzeichnis nach der passenden DLL gesucht. Das vereinfacht Angriffe, insbesondere, wenn ein Verzeichnis von mehreren Personen benutzt wird, wie das bei Netzlaufwerken häufig der Fall ist. Die Angriffe werden aber nur im Kontext des Nutzers durchgeführt. Wer nur die Rechte eines Standardnutzers hat, kann eine Infektion nicht tief ins System einschleusen.

Hochproblematische Beispiele gibt es mittlerweile genug: Programme wie Thunderbird, Firefox oder Teamviewer suchen nach einer Bibliothek mit dem Namen dwmapi.dll (für Vista interessant), VLC sucht nach einer wintab32.dll (wichtig für Tablets) und der Media Player Classic sucht eine iacenc.dll von Intel.

Voll gepatchtes System mit fehlenden DLLs

Auf unserem Windows-7-Testsystem ist von diesen drei DLLs nur eine tatsächlich enthalten. Wintab32.dll und iacenc.dll fehlen einfach und damit ist unser System anfällig für das Binary Planting, unabhängig davon, ob nun SafeDLLSearch aktiv ist oder nicht. Die dwmapi.dll ist natürlich unter Windows 7 vorhanden. Interessant an dieser sind allerdings die Abhängigkeiten und die damit verbundenen Probleme. Ob eine Windows-DLL eine andere DLL braucht, muss ein Entwickler nicht unbedingt wissen, schließlich teilen sich mehrere Entwickler idealerweise eine DLL. Der Dependency-Walker hilft aber dabei, dies herauszufinden.

Wer nach diesen und anderen DLLs in einer Suchmaschine stöbert, wird schnell feststellen, dass das Problem weit verbreitet ist. Es existieren allein bei den drei genannten DLLs hunderte Hilfestellungen für Entwickler und Anwender. Einige DLLs fehlen sogar so häufig, dass es Downloadangebote gibt. In einigen Foren finden sich sogar Hinweise für Entwickler, die besagen, dass eine fehlende DLL unproblematisch ist, da sie vom Programm einfach nicht geladen wird. Aus Sicht eines Entwicklers durchaus praktisch; aus Sicht eines Malware-Autors mittlerweile auch.

Nicht alle Exploits, die bisher als Machbarkeitsstudie aufgetaucht sind, nutzen das Arbeitsverzeichnis. Im Falle von Putty muss die DLL im Programmverzeichnis abgelegt werden. Nun haben Anwendungen wie Putty aber eine Besonderheit: Es sind kleine Exe-Dateien, die Anwender gerne einfach irgendwo ablegen, vielleicht sogar mal in einem Netzlaufwerk für besonders praktische Programme. Hier sind Angriffsszenarien zumindest denkbar, allerdings unwahrscheinlich.

Kein Patch in Sicht

Einen Patch wird es von Microsoft voraussichtlich nicht geben. Nach fehlenden DLLs im Arbeitsverzeichnis zu suchen, ist eine Funktion von Windows, die nicht einfach weggepatcht werden kann, so Microsoft. Solche Angriffe sind demzufolge konzeptbedingt möglich.

Abschwächen lassen sich Angriffe durch eingeschränkte Rechte. Insbesondere in Netzwerken, bei denen eventuell andere Anwender die Quelle wichtiger Dateien verseuchen, ist das wichtig. Bei jedem Dateiaufruf in einem Verzeichnis für Mediendateien nach verdächtigen DLLs zu suchen, dürfte die meisten überfordern.

Nur erfahrene Anwender können sich schützen

Echten Schutz gibt es erst durch einen neuen Registrierungseintrag, der aber nur für erfahrene Nutzer eine Hilfe ist. Endanwender können sich nur schlecht schützen, insbesondere wenn sie für Social-Engineering-Angriffe anfällig und im Glauben sind, Dateiendungen wie .mp3 seien harmlos. Ab jetzt müssen Dateiendungen auch im Kontext der Umgebung betrachtet werden. So ließe sich ausschließen, dass etwas passiert.

Aufgrund der hohen Anzahl der anfälligen Programme muss derzeit davon ausgegangen werden, dass nicht alle Sicherheitsprobleme in den Anwendungen beseitigt werden. Allenfalls Programme, an denen noch aktiv gearbeitet wird, werden wohl dahingehend überprüft. Selbst dann besteht aber die Möglichkeit, dass die Programme eine DLL eines anderen Herstellers nutzen, die selbst Probleme mit fehlenden Bibliotheken hat.

Das Internet Storm Center meldet derweil erste echte Angriffe unter Ausnutzung der Möglichkeiten, die Windows bietet.  (ase)


Verwandte Artikel:
Binary Planting: Firefox, Opera, Powerpoint und viele mehr sind anfällig   
(25.08.2010, https://glm.io/77461 )
Security: Lenovo gesteht Sicherheitslücken im Fingerprint Manager ein   
(29.01.2018, https://glm.io/132445 )
Binary Planting: Windows-Sicherheitslücke betrifft dutzende Anwendungen   
(24.08.2010, https://glm.io/77437 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Android: Patch für Pixel-Smartphones schließt Krack-Lücke   
(05.12.2017, https://glm.io/131485 )

© 1997–2019 Golem.de, https://www.golem.de/