Menü

Binary Planting Viele Windows-Programme anfällig für neuen Angriffstyp

Eine neue Variante eines seit Jahren bekannten Angriffstyps gefährdet die Sicherheit vieler Windows-Benutzer. Eine noch völlig ungeklärte, aber in jedem Fall große Zahl von Windows-Anwendungen ist anfällig für Angriffe, die Nachlässigkeiten der Programmierer ausnutzen, um schädlichen Code einzuschleusen.

Kurz gefasst liegt das Problem in der Weise, wie Windows-Programme auf benötigte DLLs (Programmbibliotheken) zugreifen. Öffnet zum Beispiel ein Media Player eine MP3-Datei per WebDAV oder SMB aus einer Freigabe, die im Internet liegt, kann es passieren, dass er auch eine dazu nötige DLL von dort lädt.

Ein Angreifer würde etwa eine ausnahmsweise völlig harmlose Datei in einem Verzeichnis auf einem Server im Internet bereit stellen und potenziellen Opfern einen Link zu dieser Datei senden. Im gleichen Verzeichnis befindet sich eine schädliche Datei, die als DLL getarnt ist. Sie muss allerdings den zur Zielanwendung passenden Dateinamen tragen, damit diese die DLL lädt. Diese Angriffstechnik wird als "Binary Planting" bezeichnet und ist in anderer Form seit Jahren bekannt.

Das Problem entsteht, wenn die benötigte DLL auf dem Rechner nicht vorhanden ist oder vom Programm vorrangig im aktuellen Verzeichnis gesucht wird, falls sie nicht im Programmverzeichnis liegt. Details zu den Zusammenhängen finden Sie im Microsoft-Blog Security Research & Defense . Microsoft hat eine Sicherheitsmitteilung heraus gegeben, in der es Empfehlungen zum Schutz vor solchen Angriffen gibt.

Dazu gehört ein Tool , das es Windows-Nutzern ermöglicht, das Laden von Programmbibliotheken aus Netzwerkfreigaben zu unterbinden. Es führt einen neuen Registrierungsschlüssel namens "CWDIllegalInDllSearch" ein. Benutzer können damit den DLL-Suchpfadalgorithmus steuern.

Sicherheitsforscher und Online-Kriminelle suchen derzeit in der Flut verfügbarer Windows-Anwendungen nach anfälligen Programmen. Sie werden immer wieder fündig. So sind zum Beispiel bereits Windows Mail, Powerpoint, Windows Movie Maker, Firefox, Thunderbird, Opera sowie die Media Player Winamp, Media Player Classic und VLC Player als fehlerhaft und damit potenziell anfällig bekannt.

Ein Sicherheits-Update von Microsoft, das dieses Problem mit einem Schlag beseitigen würde, ist nicht zu erwarten. Die Entwickler der anfälligen Programme müssen ihre Software überarbeiten, um die Schutzmechanismen zu nutzen, die Microsoft bereits in Windows eingebaut hat. Das Internet Storm Center berichtete, es seien bereits Angriffe beobachtet worden, die auf Nutzer von bekanntermaßen anfälligen Programmen zielen.

 
x