Neue Windows-Schwachstelle: Anwendungen laden Schadcode aus dem Netz nach

Windows lädt DLLs für installierte Anwendungen unter Umständen aus dem Netz nach. Angreifer können dadurch ihre Programme in die Systeme von Anwendern schleusen.

In Pocket speichern vorlesen Druckansicht 193 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Art, wie Windows Bibliotheken für Anwendungen anderer Hersteller nachlädt, lässt sich offenbar von Angreifern ausnutzen, um eigene Programme auf dem System eines Opfers auszuführen. Ursache des Problems soll es diversen Hinweisen zufolge sein, dass Anwendungen beim Laden der mit ihnen verknüpften Dateien (Safe Files) von externen Quellen versuchen, bestimmte Bibliotheken ebenfalls von dort zu laden.

Hinterlegt ein Angreifer auf einem Netzlaufwerk eine MP3-Datei und zusätzlich eine präparierte DLL (mit dem entsprechenden Namen), so lädt etwa ein Medienplayer beim Start unter Umständen die DLL mit und führt den Code des Angreifers aus. Das Opfer muss die Datei allerdings selbst auf dem Netzlaufwerk öffnen – was mit Social Engineering für Angreifer aber in der Regel keine Hürde darstellt.

Welche Anwendungen genau betroffen sind, ist noch nicht bekannt. Die Schwachstelle soll sich aber auch über HTTP via WebDAV ausnutzen lassen. Laut Metasploit-Entwickler HD Moore sollen rund 40 Anwendungen zumeist anderer Hersteller betroffen sein, es soll jedoch "einige Überraschungen" geben. Weitere Details gibt es derzeit nicht, auch nicht, unter welchen Windows-Versionen der Fehler zum Tragen kommt. Moore will im Laufe des Tages mehr Informationen veröffentlichen.

Microsoft soll über das Problem informiert sein und es derzeit untersuchen. Das Problem war publik geworden, nachdem der Sicherheitsdienstleister ACROS am gestrigen Mittwoch einen Fehlerbericht veröffentlichte, in dem ein sehr ähnlicher Fehler in Apples iTunes für Windows beschrieben ist – der Fehler ist in iTunes 9.2.1 seit vier Wochen behoben.

Mangels Patch und fehlender Informationen über die betroffenen Anwendungen lässt sich das Problem derzeit nur durch das Blocken von SMB- und WebDAV-Verbindungen ins Internet lösen. (dab)