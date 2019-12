Der für private Zwecke kostenlos nutzbare AdwCleaner von Malwarebytes dient dazu, Windows-Systeme von Junkware, Adware, Browser-Hijackern und sonstigen unerwünschten Beigaben, die durch installierte Software auf den Rechner kamen, zu reinigen. Mehrere Versionen wiesen allerdings eine so genannte DLL-Hijacking Schwachstelle auf, die nun mit Version 8.0.1 behoben wurde.

Ein Angreifer hätte sie dazu missbrauchen können, eigene schädliche DLL-Dateien (dynamische Programmbibliotheken) im AdwCleaner-Ordner platzieren, die dann beim Starten der Software unter bestimmten Voraussetzungen mit administrativen Berechtigungen zur Ausführung gekommen wären.

Da die Verwendung des Tools keine vorherige Installation voraussetzt, dürfte es bei den meisten Anwendern im Download-Ordner des Benutzerprofils liegen. In diesem Fall könnte eine mit lokalen Rechten (z.B. im Browser) ausgeführte Malware DLLs in diesen Ordner kopieren. Denkbar wäre aber auch das manuelle Platzieren durch einen lokalen Angreifer.

Gefälschte Windows-DLLs erhalten Admin-Rechte

Ursache für die Schwachstelle war, dass die AdwCleaner-Entwickler im Programmcode auf die Angabe der vollständigen Pfade zu Windows-spezifischen DLLs verzichteten, von denen das Programm beim Start mehrere nachlädt. Platzierte ein Angreifer nun eigene DLLs identischen Namens im Ordner, aus dem AdwCleaner.exe startete, lud Windows beim Programmstart diese Versionen statt der originären Betriebssystembibliotheken.

Beim Start fordert AdwCleaner über die Benutzerkontensteuerung grundsätzlich administrative Berechtigungen an. Da der Anwender dies so erwartet, wird er der Anfrage zustimmen – und die vom AdwCleaner nachgeladenen DLL-Dateien erhalten dann ebenfalls diese Berechtigungen. Der enthaltene Schadcode (und ggfs. von ihm gestartete weitere Malware) könnte ab diesem Zeitpunkt beliebige Operationen ausführen, die normalerweise Administratoren vorbehalten sind. Das reicht vom Installieren weiterer Programme über das Schreiben von Dateien in Systemordner bis hin zum Installieren oder Stoppen von Diensten.

Versionen ab 7.0.0 bis inklusive 8.0.0 betroffen

Der Autor dieses Beitrags hat die Schwachstelle an die Entwickler von Malwarebytes gemeldet. Die haben sie bestätigt und behoben. Betroffen waren laut Release-Notes zur neuen Version 8.0.1 alle AdwCleaner-Versionen ab Version 7.0.0 bis einschließlich Version 8.0.0.

Eine CVE-Nummer nebst Risikoeinstufung wurde der Schwachstelle bisher nicht zugewiesen; der Autor schätzt das Risiko selbst als "mittel" ein. Der Gefahr durch die Rechteerweiterung steht die Tatsache entgegen, dass der Nutzer (zumindest der AdwCleaner-Ausführung mit Admin-Rechten) aktiv über die Benutzerkontensteuerung zustimmen muss. Zudem dürfte der Angriff meist ins Leere laufen, sofern der Anwender den AdwCleaner direkt vor der Ausführung in einen neuen, leeren Ordner kopiert (oder angesichts plötzlich vorhandener DLL-Dateien im Ordner misstrauisch wird).

Die aktuelle AdwCleaner-Version 8.0.1 steht auf der Malwarebytes-Website zum Download bereit. (Günter Born) / (ovw)