Microsoft warnt vor DLL-Lücke in Anwendungen

[Dynamite]

In einem Advisory warnt Microsoft vor einem verbreiteten Programmierfehler, durch den Programme Schadcode in präparierten DLL-Dateien ausführen. Dabei öffnet der Anwender etwa ein Bild auf einem Netzwerklaufwerk. Die installierte Anwendung lädt dann unter Umständen auch Bibliotheken, in denen sich Schadcode befinden könnte, aus diesem Netzwerkverzeichnis nach.

Nachdem der Sicherheitsdienstleister Acros das problematische Verhalten in iTunes entdeckt hatte, erklärte der Metasploit-Entwickler HD Moore dass rund 40 weitere Anwendungen davon betroffen seien. Thierry Zoller zufolge ist unter anderem Photoshop anfällig. In iTunes hat Apple das Problem bereits behoben; welche anderen Anwendungen noch anfällig sind, ist derzeit nicht bekannt.

Zum Schutz empfiehlt Microsoft derzeit, den WebDAV-Dienst zu beenden und ausgehende SMB-Verbindungen durch die Firewall zu blockieren. Darüber hinaus stellen sie ein Tool bereit, mit dem man das Suchverhalten beim Laden von Bibliotheken durch Registry-Einträge beeinflussen kann. In einem Blog-Eintrag erklären Microsofts-Sicherheitspezialisten die Bedeutung der einzelnen Werte.

Ganz neu ist dieses Szenario nicht: Die NSA hat bereits vor 12 Jahren in ihren "Windows NT Security Guidelines" vor "DLL Spoofing" gewarnt. Und Microsoft erklärt zwar Entwicklern bereits seit geraumer Zeit, wie man Bibliotheken richtig lädt. Doch offenbar halten sich viele Applikationen nicht an diese Richtlinien. Ob es jemals einen Patch geben wird, der das Problem aus der Welt schafft, ist zumindest zweifelhaft. Immerhin erklärt Microsoft, dass es nicht möglich sei, das Problem direkt in Windows zu beheben, da dann dokumentierte Funktionen nicht mehr wie erwartet funktionieren würden. (rei)

Quelle: Heise.de

[Dynamite]

DLL Hijacking: Lücke in Firefox, Office und WinZip

Microsoft hat die Existenz der DLL-Sicherheitslücke in einem Security-Advisory bestätigt. Das Kernproblem ist, dass die meisten Windows-Programme einen unsicheren Weg nutzen, um DLL-Dateien zu laden. Doch welche Programme sind vom sogenannten DLL Hijacking betroffen?

Update: Eine offizielle Liste mit betroffenen Programmen gibt es bisher nicht, aber mit einem Tool lassen sich installierte Programme auf die DLL-Lücke testen. Derzeit sind prominente Programme wie Google Chrome, Firefox, Photoshop CS2, WinZip, Virtual PC, Word 2007 und PowerPoint 2010 betroffen; im Minutentakt kommen weitere hinzu. Doch wie funktioniert DLL Hijacking?

Beispiel zur DLL-Lücke

Liegt ein Video auf einem Server im Internet, dann kann es mit einem Player direkt abgespielt werden. Der Player selbst lädt aber nicht nur das Video, sondern braucht auch DLL-Dateien um korrekt zu funktioneren. Problematisch ist, dass nicht immer klar ist, wo die passenden DLLs liegen. Der Bug: Oft gucken Programme als erstes im aktuellen Verzeichnis nach DLLs, also im Beispiel in dem Server-Verzeichnis, in dem auch die Video-Datei liegt.

Angreifer können dann eine manipulierte DLL-Datei neben dem Video ablegen und sich auf diesem Weg Adminrechte verschaffen. Ein Windows-Patch kann dieses Problem nicht beheben, vielmehr müssen die Programmanbieter selbst ihre Tools patchen. Wie man DLL-Dateien sicher lädt, beschreibt Microsoft in einem eigenen Beitrag.

Microsoft prüft eigene Tools

Trotzdem es eine Möglichkeit gibt, wie man DLLs sicher laden kann, nutzt Microsoft selbst zumindest bei Office die unsichere Methode für DLLs. Auch der Windows Explorer soll von der Schwäche betroffen sein, weitere Programme will Microsoft schnellstmöglich auf die Lücke prüfen und patchen. Bisher fehlt immer noch eine offizielle Liste von betroffenen Programmen mit genauen Versionsnummern.

So schützen Sie sich

Bei der Fülle an betroffenen Programmen bezweifeln Experten, dass es schnell Patches geben wird. Man vermeidet den Bug, indem man keine zweifelhaften Dateien von Webservern direkt ausführt. Doch das hat man als Nutzer oft gar nicht selbst in der Hand, denn wenn man mit Firefox oder Chrome eine Webseite besucht, lädt der Browser die Elemente automatisch. In der Zwischenzeit beschreibt Microsoft wie man sich mit einem Workaround schützen kann. So sollte der WebClient-Dienst abgeschaltet werden. Sie finden ihn in der Diensteverwaltung von Windows. Über "Eigenschaften" im Kontextmenü können Sie den "Starttyp" auf "Deaktiviert" stellen.

Remote-Laden von DLLs abschalten

Jetzt müssen Sie noch dafür sorgen, dass DLLs nicht aus dem Internet oder von Netzwerkfreigaben nachgeladen werden. Melden Sie sich als Administrator an und starten Sie regedit. Navigieren Sie zum Unterschlüssel HKLM\SYSTEM\CurrentControlSet\Control\Session Manager und klicken Sie mit der rechten Maustaste auf Session Manager, wählen Sie "Neu" und danach "DWORD-Wert". Geben Sie CWDIllegalInDllSearch ein und klicken Sie anschließend auf "Ändern".
Geben Sie in das Feld "Wert" den Datenwert "1" ein, und klicken Sie auf OK. Zusätzlich sollten noch die TCP-Ports 139 und 445 an der Firewall geblockt werden. (jg)

Quelle: Chip.de

[Dynamite]

Angreifer nutzen DLL-Lücke in Office und Co.

Die DLL-Schwachstelle in vielen Anwendungen nutzen Kriminelle bereits für ihre Zwecke aus, wie das Internet Storm Center berichtet. Unter den angegriffenen Anwendungen befinden sich Microsoft Office, Windows Mail und uTorrent. Die Zahl der verwundbaren Anwendungen steigt fast stündlich: Durchsucht man etwa die Exploit Database nach DLL Hijacking, bekommen man laufend neue Exploits präsentiert, die es auf beliebte Anwendersoftware abgesehen haben. Darunter auch bekannte Namen wie Winamp, Photoshop, VLC und Thunderbird.

Beim sogenannten "DLL Hijacking" oder auch "Binary Planting" nutzen die Angreifer eine Eigenheit des DLL-Sucherverhaltens von Windows: Hat ein Entwickler den Pfad einer DLL nicht explizit festgelegt, sucht das Betriebssystem der Reihe nach an verschiedenen Ordnern nach ihr. An vorletzter Stelle steht in der Regel das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann. Mitunter versuchen Anwendungen DLLs zu laden, ohne zu wissen, ob sie wirklich installiert sind; beispielsweise Videocodes. Fordert das Programm eine DLL an, die sich nicht auf allen Systemen befindet, durchforstet das Betriebssystem zwangsläufig auch das Arbeitsverzeichnis.

Startet man zum Beispiel den Media Player Classic direkt mit einer MP3-Datei von einer SMB- oder WebDAV-Freigabe, sucht das Programm hier nach der optionalen Codec-Bibliothek iacenc.dll. Findet es dort eine präparierte Datei mit diesem Namen, führt es den darin enthaltenen Schadcode aus. Schützen kann man sich mit einem Microsoft-Tool für Systemadmins: Nach der Installation kann man das DLL-Suchverhalten mit einem neu anzulegenden Registry-Eintrag beeinflussen und das Arbeitsverzeichnis sogar ganz aus der Suchreihenfolge entfernen. Unterdessen sind die Softwareentwickler gefragt, die Lücke in ihren Anwendungen zu patchen – Microsoft wird voraussichtlich keinen Patch dazu veröffentlichen.

Man kann trefflich darüber streiten, ob die Dokumentation, die Entwicklerwerkzeuge oder die Programmierer selbst Schuld an dieser Misere sind. Die NSA hat bereits vor 12 Jahren vor dem zugrunde liegenden Problem gewarnt und vor über zwei Jahren hat auch Microsoft-Sicherheitsexperte David LeBlanc in seinem Blog auf die Gefahr hingewiesen. Bis dato war aber wohl niemanden bewusst, dass sich die Lücke auch über Netzfreigaben ausnutzen lässt.

[Update: Die Entwickler reagieren nach und nach mit Patches auf die Schwachstelle, wie uns ein Leser berichtet hat. So sind etwa VLC in Version 1.1.4 und uTorrent in Version 2.0.4 vor DLL Hijacking geschützt.] (rei)

Quelle: Heise.de

[Dynamite]

Microsoft-Tool gegen DLL-Lücke stört Programme

Das vergangene Woche zur Eindämmung der DLL-Lücke veröffentlichte Microsoft-Tool sorgt dafür, dass einige Programme nicht mehr ordnungsgemäß funktionieren: Will man Angreifer mit dem Tool zuverlässig daran hindern, dass sie vertrauenswürdigen Anwendungen verseuchte Bibliotheken unterschieben, gibt man dem neu angelegten Registry-Key am besten den DWORD-Wert 0xFFFFFFFF ("ffffffff"). Dadurch wird das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann, global aus der DLL-Suchreihenfolge von Windows entfernt.

Allerdings leiden darunter Programme, die eben jenes Suchverhalten von Windows erwarten – und nicht mal anfällig für das sogenannte DLL Hijacking sein müssen. Prominentestes Beispiel ist derzeit Google Chrome. Ist der Registry-Key gesetzt, vermisst der Browser die Datei avutil-50.dll, sobald man das Programm selbst oder einen neuen Tab öffnet. Enthält eine Website etwa ein HTML5-Videoelement, schlägt die Darstellung der kompletten Seite fehl. Das quelloffene Grafikprogramm GIMP konnte auf unserem Windows-7-Testsystem seine Plugins nicht mehr finden. Auch in Verbindung mit dem Spieledienst Steam und dem Java-Plugin für Mozilla kommt es laut Anwenderberichten zu Problemen.

Abhilfe schafft in solchen Fällen, die problematischen Anwendungen einzeln von dem geänderten Suchverhalten auszuschließen oder die Sicherheitsvorkehrungen für den Problemfall abzumildern. Hierzu legt man einen neuen DWORD-Wert mit dem Namen CWDIllegalInDllSearch unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Programmename.exe\ und setzt ihn auf den Wert "0", was zu dem von der Anwendung erwarteten Suchverhalten führt – aber sie möglicherweise auch wieder anfällig für DLL Hijacking macht.

Ein gangbarer Mittelweg ist der Wert "2": In diesem Fall wird das Arbeitsverzeichnis nur aus der Suchreichenfolge entfernt, wenn es sich auf einem Netzwerkverzeichnis befindet. Das schützt zumindest vor Angriffen aus der Ferne, bei denen man auf manipulierte SMB- oder WebDAV-Freigaben gelenkt wird. Der Wert "1" schützt nur vor DLL Hijacking in Verbindung mit WebDAV.

Die sauberste Lösung sind allerdings Herstellerpatches für die betroffenen Programme, die allerdings bislang nur vereinzelt verfügbar sind. So haben etwa die Entwickler von VLC und uTorrent schnell auf die veröffentlichten Exploits, die derzeit wie Pilze aus dem Boden schießen, reagiert und ihre Anwendungen vor DLL Hijacking geschützt. Wer sich zumindest einen groben Überblick über die zu erwartende Patch-Flut verschaffen möchte, sollte einen Blick auf Secunia PSI riskieren. Das Freeware-Tool greift auf eine große Programmdatenbank zurück und informiert, sobald eine installierte Anwendung in einer neueren Version zum Download bereitsteht. Eine Liste verwundbarer Applikationen liefern beispielsweise die Exploit Database und Corelan.be.

Laut Sicherheitsexperte Tim Brown sind auch einige Linux-Distributionen nicht vor der Problematik gefeit: Wurde die Variable LD_LIBRARY_PATH nicht gesetzt, lädt eine Anwendung möglicherweise Bibliotheken aus dem aktuellen Arbeitsverzeichnis des Anwenders nach – was man aber nicht so leicht ausnutzen könne, wie Brown gegenüber Threatpost äußerte. (rei)

Quelle: Heise.de

[Dynamite]

DLL-Lücke: Microsoft doktert weiter an Workaround herum

Wer die in zahlreichen Programmen zu findende DLL-Lücke mit dem seit rund einer Woche erhältlichen Microsoft-Tool abdichten will, handelt sich unter Umständen Probleme ein: Ist der von Hand anzulegende Registry-Eintrag CWDIllegalInDllSearch im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" zu streng eingestellt, sind Programme wie Chrome unbedienbar. Microsoft hat jetzt ein "Fix-it" veröffentlicht, das den Key automatisch anlegt und auf den milderen Wert "2" setzt – so ist man zumindest vor unmittelbarem DLL Hijacking über Netzwerkfreigaben geschützt. Das eigentliche Schutz-Tool muss man zuvor allerdings dennoch installieren. Microsoft spielt derzeit mit dem Gedanken, es über Windows Update auszuliefern.

Wer auf Nummer sicher gehen und sich auch vor der Bedrohung durch DLL Hijacking von lokalen Datenträgern wie USB-Sticks schützen will, muss den Wert auf "ffffffff" setzen, wodurch das Arbeitsverzeichnis in jedem Fall aus dem DLL-Suchpfad entfernt wird. Auf Problemfälle wie Chrome, die sich an der geänderten Suchreihenfolge stören, muss man dann mit einem Registry-Key eine Ausnahmeregeln definieren. Für Chrome sieht der Key beispielsweise so aus: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe". Hier legt man einen DWORD-Wert CWDIllegalInDllSearch mit dem Wert "0" an. (rei)

Quelle: Heise.de

[Dynamite]

Nach der DLL-Lücke: Neues Riesen-Leck in Windows

Die kürzlich in Windows entdeckte Sicherheitslücke beim Laden von DLL-Dateien betrifft jetzt auch EXE-Dateien. Das melden die Sicherheitsexperten von Acros Security in einem Blog-Posting. Unter dem Fachbegriff Binary Planting haben sie bisher neben 396 Programmen mit DLL-Lücken auch 127 Tools gefunden, bei denen die Sicherheitslücke auch mit EXE-Files funktioniert.

Gefährliche Ladewege
Kern des DLL-Problems ist, dass bei einem Programmstart zusätzlich Bibliotheken geladen werden. Das allein ist zwar nicht ungewöhnlich, jedoch sucht Windows in fest vorgegebener Reihenfolge nach diesen DLLs. Wird etwa von einem Programm die Funktion LoadLibrary genutzt, dann durchstöbert Windows zuerst das Verzeichnis in dem das Programm liegt, danach die Ordner Windows\System32, Windows\System und Windows. Für einen Angriff reicht es also aus, eine gefälschte DLL ins Programmverzeichnis zu legen.

Gefahr bei EXE-Dateien
Ähnlich unsicher geht Windows auch beim Laden von EXE-Dateien vor. So gucken die Systemfunktionen CreateProcess und WinExec zuerst in das aktuelle Verzeichnis. Befindet man sich auf einem Netzlaufwerk und startet etwa den Taschenrechner von Windows, dann wird zuerst das Netzlaufwerk nach der Datei "calc.exe" durchsucht. Liegt dort eine Datei mit diesem Namen, wird sie ohne Warnmeldung ausgeführt. Angreifer müssen also nur eine gefälschte Datei im gleichen Verzeichnis ablegen und können so Windows unterwandern.

Programm-Updates helfen
Einziger Schutz vor der EXE-Lücke sind Programm-Updates. Die Programmierer müssen schon beim Programmaufruf den kompletten Pfad übergeben, dann sucht Windows nicht an verschiedenen Orten. Die Schutzmöglichkeiten, die es zum Eindämmen der DLL-Lücke gibt, funktionieren übrigens nicht mit EXE-Dateien. (jg)

Quelle: Chip.de