Windows: DLL-Schwachstelle betrifft auch Exe-Dateien

Offenbar ist die viel diskutierte DLL-Schwachstelle (Binary Planting) in Windows, die hunderte von Anwendungen betrifft, scheint nur die Spitze des Eisbergs zu sein. DLL-Bibliotheken sind nicht die einzigen angreifbaren Dateien. Es scheint als würde diese Methode des Angriffs auch mit Exe-Dateien funktionieren und die von Microsoft vorgestellten Workarounds funktionieren in diesem Fall nicht.

In einer Sicherheits-Anweisung für Safari, der kürzlich mit Updates gesegnet wurde, erklärt ACROS das Problem. Angreifer können zunächst eine HTML-Datei und eine manipulierte Datei mit Namen explorer.exe auf der Festplatte speichern. Öffnet der Benutzer diese HTML-Datei nun, scheint nichts zu passieren. Die Datei beinhaltet aber eine URL, die mit file:// beginnt. Windows versucht nun die den Windows-Explorer zu starten (explorer.exe). Dummerweise lädt Windows aber die Datei explorer.exe im selben Ordner oder im Netzwerk-Share und führt diese aus.

ACROS sagt, dass die Workarounds für die DLL-Schwachstelle hier nicht funktionieren. Der CWDIllegalInDllSearch-Hotfix verhindert, dass DLL aus dem selben Ordner geladen werden. Exe-Dateien seien davon nicht betroffen. Das Selbe gelte auch für die SetDLL-Verzeichnis-Funktion. Ganz einfach weil es so eine Funktion für Exe-Dateien nicht gibt. Es würde lediglich helfen, wenn die Applikation den beinhaltenden Ordner an das Ende des Suchpfads legen würde, bevor ein Prozess gestartet wird. Weitere Informationen finden Interessierte in der Sicherheits-Anweisung von ACROS Binary Planting Goes “Exe”.

Darüber hinaus hat ACROS eine Test-Seite (Online Binary Planting Exposure) ins Internet gestellt. Ein Deaktivieren von WebDAV Clients scheint derzeit die einzige Möglichkeit zu sein, einen solchen Angriff von außerhalb abzuwehren.