Menü
Alert!
Security

DLL-Sicherheitsproblem zieht weite Kreise [Update]

Von
vorlesen Drucken Kommentare lesen 422 Beiträge

Nachdem Metasploit-Entwickler HD Moore Einzelheiten zu dem vergangene Woche bekannt gewordenen DLL-Problem unter Windows und ein Tool zum Testen veröffentlicht hat, tauchen nun immer mehr Berichte über betroffene Anwendungen und dazu passende Exploits auf. Neben Firefox und Opera zählen zu den verwundbaren Programmen verbreitete Anwendungen wie Powerpoint, Photoshop, Dreamweaver, VLC, uTorrent und Wireshark – jeweils in der aktuellen Version. Sie alle greifen auf eine unsichere Variante zum Laden von DLLs zurück, bei der in der Suchreihenfolge zu einem frühen Zeitpunkt das aktuelle Verzeichnis steht – und das kann auch ein Netzlaufwerk sein.

In der Exploit Database findet man unter dem Suchbegriff DLL Hijacking laufend neue Exploits, die es gezielt auf bekannte Anwendersoftware abgesehen haben. Weitere Treffer fördert eine Suche nach den Stichwörtern "insecure library loading" in den Datenbanken der Sicherheitsdienstleister Secunia und VUPEN zu Tage. Die Exploit-DLLs sind einfach gestrickt und enthalten neben der Payload oft nur leere Funktionen.

Microsoft hat zwar gestern ein Advisory zu dem Problem veröffentlicht, einen Patch wird es aber vermutlich nicht geben. Vielmehr werden die jeweiligen Hersteller ihre Produkte anpassen müssen. Unterdessen brodelt in der Security-Szene die Diskussion, ob man die Anwendungsentwickler überhaupt für dieses Problem verantwortlich machen kann. Secunia meint, es sei auf schlechte Programmiergewohnheiten zurückzuführen, unvollständige Pfade anzugeben, aufgrund dessen Windows die Arbeit überlassen werde. Witzigerweise bläst auch der VLC-Entwickler Geoffroy Couprie in das gleiche Horn, obwohl VLC ersten Tests zufolge ebenfalls betroffen ist.

Wie Windows sucht, bestimmt die Option "SafeDLLSearchMode" die die Suchreihenfolge festlegt. Ist sie aktiviert, [Update] wandert das aktuelle Verzeichnis an das Ende der Liste und das Problem tritt seltener auf; ist sie deaktiviert, sucht Windows bereits im zweiten Schritt im aktuellen Arbeitsverzeichnis nach DLLs und lädt sie gegebenenfalls.

Schützen kann man sich mit einem Microsoft-Tool, das einen neu anzulegenden Registry-Eintrag auswertet. Die Details erklären Sicherheitsexperten des Unternehmens in ihrem Technet-Blog. [/Update] (rei)