DLL Hijacking in Windows und haufenweise installierter Programme… is it a bug or is it a feature ;-)
Microsoft bestätigte die Existenz dieser Sicherheitslücke am 23. August 2010 in Ihrem Security Advisory.
Gut, beleuchten wir das Problem einmal genauer. Nicht Windows allein stellt das Problem dar, sondern unzählige installierte Programme, die einen unsicheren Weg nutzen, um DLL-Dateien während ihrer Laufzeit dynamisch zu laden.
Eine offizielle Liste aller betroffenen Programme existiert derzeitig noch nicht. Jedoch lässt sich mit einem in Metasploit integrierten Tool vorhandene Programme auf diese Lücke testen. Derzeitig sind Google-Chrome, Firefox, Photoshop, WinZip, Virtual Pc, Word 2007 sowie PowerPoint 2010 betroffen. Minütig kommen weitere Programme hinzu.
Inoffiziell kann man hier alle derzeitig schwächelnden Programme nachlesen.
Funktionsweise DLL-Hijacking
Ein Angreifer verschickt eine E-Mail mit einem Link zu einer “netten Videodatei”.
Dieser Link verweist auf einen speziell präparierten Server, welcher die Datei und eine manipulierte DLL enthält. Wird nun das Video geöffnet, versucht der Videoplayer eine benötigte DLL für die Funktionsweise nach zu laden. Hier kommt das Designproblem vieler Programme ins Spiel, der Player sucht zu erst im gleichen Verzeichnis nach der DLL und lädt diese nach.
Siehe auch:
Prof of Concept mit Metasploit
Gotcha …. Adminrechte und dem User hat es nicht mal weh getan…. 
Wie schützt man sich ??
Auf Grund der zahlreich vorhandenen betroffenen Programme wird bezweifelt, das es schnell Patches geben wird. Man vermeidet den Angriff, in dem man keine zweifelhaften Dateien direkt ausführt. Jedoch ist dieses nicht immer praktikabel, da Internet Explorer, Firefox oder Google-Chrome diese Elemente automatisch nach lädt. Um dieses zu verhindern, sollte man als erstes den WebClient-Dienst auf Deaktiviert stellen.
Als zweite Maßname sollte das Remote-Laden von DLLs abgeschaltet werden.
Hierzu regedit starten, zu HKLM\SYSTEM\CurrentControlSet\Control\Session Manager navigieren und einen Unterschlüssel CWDIllegalInDllSearch mit “DWORD-Wert” und Wert 2 erstellen.
Neustart nicht vergessen. …. ich liebe Windows, für jeden sch*** ein Reboot….
Als dritte Maßname bietet sich für Unternehmen der Block der Ports 139 und 445 ausgehender Datenverkehr auf der Firewall an.
Und jetzt mal genauer hingeschaut…
Ok DLL Sicherheitsloch in Microsoft Windows… mal wieder eine von unzähligen Schwachstellen die täglich auftauchen. …. Na und… möchte man meinen.
Ein talentierter Student der University of applied Science Coburg, Manuel Müller, hat in Fleißarbeit recherchiert und folgende Fakten zusammen getragen:
Die NSA wusste bereits vor 12 Jahren von diesem Problem und warnte schon damals davor.
Ab Seite 105 kann man die detaillierte Beschreibung des Problems nachlesen…
Hier eine nette Demonstation über eine Powerpointdatei
Zitat Manuel Müller:
Wir werden uns auf noch SEHR viel Exploits gefasst machen dürfen welche diese Lücke ausnutzen…..
…man(n) darf gespannt sein.
