Alte DLL-Sicherheitslücke wird ausgenützt

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>