Angreifer nutzen DLL-Lücke in Office und Co. [Update]
Den Programmierfehler bei der Einbindung von Bibliotheken, der in zahlreichen Anwendungen enthalten ist, nutzen Angreifer laut einem Bericht bereits aktiv aus.
- Ronald Eikenberg
Die DLL-Schwachstelle in vielen Anwendungen nutzen Kriminelle bereits für ihre Zwecke aus, wie das Internet Storm Center berichtet. Unter den angegriffenen Anwendungen befinden sich Microsoft Office, Windows Mail und uTorrent. Die Zahl der verwundbaren Anwendungen steigt fast stündlich: Durchsucht man etwa die Exploit Database nach DLL Hijacking, bekommen man laufend neue Exploits präsentiert, die es auf beliebte Anwendersoftware abgesehen haben. Darunter auch bekannte Namen wie Winamp, Photoshop, VLC und Thunderbird.
Beim sogenannten "DLL Hijacking" oder auch "Binary Planting" nutzen die Angreifer eine Eigenheit des DLL-Sucherverhaltens von Windows: Hat ein Entwickler den Pfad einer DLL nicht explizit festgelegt, sucht das Betriebssystem der Reihe nach an verschiedenen Ordnern nach ihr. An vorletzter Stelle steht in der Regel das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann. Mitunter versuchen Anwendungen DLLs zu laden, ohne zu wissen, ob sie wirklich installiert sind; beispielsweise Videocodes. Fordert das Programm eine DLL an, die sich nicht auf allen Systemen befindet, durchforstet das Betriebssystem zwangsläufig auch das Arbeitsverzeichnis.
Startet man zum Beispiel den Media Player Classic direkt mit einer MP3-Datei von einer SMB- oder WebDAV-Freigabe, sucht das Programm hier nach der optionalen Codec-Bibliothek iacenc.dll. Findet es dort eine präparierte Datei mit diesem Namen, führt es den darin enthaltenen Schadcode aus. Schützen kann man sich mit einem Microsoft-Tool für Systemadmins: Nach der Installation kann man das DLL-Suchverhalten mit einem neu anzulegenden Registry-Eintrag beeinflussen und das Arbeitsverzeichnis sogar ganz aus der Suchreihenfolge entfernen. Unterdessen sind die Softwareentwickler gefragt, die Lücke in ihren Anwendungen zu patchen – Microsoft wird voraussichtlich keinen Patch dazu veröffentlichen.
Man kann trefflich darüber streiten, ob die Dokumentation, die Entwicklerwerkzeuge oder die Programmierer selbst Schuld an dieser Misere sind. Die NSA hat bereits vor 12 Jahren vor dem zugrunde liegenden Problem gewarnt und vor über zwei Jahren hat auch Microsoft-Sicherheitsexperte David LeBlanc in seinem Blog auf die Gefahr hingewiesen. Bis dato war aber wohl niemanden bewusst, dass sich die Lücke auch über Netzfreigaben ausnutzen lässt.
[Update: Die Entwickler reagieren nach und nach mit Patches auf die Schwachstelle, wie uns ein Leser berichtet hat. So sind etwa VLC in Version 1.1.4 und uTorrent in Version 2.0.4 vor DLL Hijacking geschützt.] (rei)
