Microsoft-Tool gegen DLL-Lücke stört Programme

Das vergangene Woche zur Eindämmung der DLL-Lücke veröffentlichte Microsoft-Tool sorgt dafür, dass einige Programme nicht mehr ordnungsgemäß funktionieren: Will man Angreifer mit dem Tool zuverlässig daran hindern, dass sie vertrauenswürdigen Anwendungen verseuchte Bibliotheken unterschieben, gibt man dem neu angelegten Registry-Key am besten den DWORD-Wert 0xFFFFFFFF ("ffffffff"). Dadurch wird das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann, global aus der DLL-Suchreihenfolge von Windows entfernt.

Allerdings leiden darunter Programme, die eben jenes Suchverhalten von Windows erwarten – und nicht mal anfällig für das sogenannte DLL Hijacking sein müssen. Prominentestes Beispiel ist derzeit Google Chrome. Ist der Registry-Key gesetzt, vermisst der Browser die Datei avutil-50.dll, sobald man das Programm selbst oder einen neuen Tab öffnet. Enthält eine Website etwa ein HTML5-Videoelement, schlägt die Darstellung der kompletten Seite fehl. Das quelloffene Grafikprogramm GIMP konnte auf unserem Windows-7-Testsystem seine Plugins nicht mehr finden. Auch in Verbindung mit dem Spieledienst Steam und dem Java-Plugin für Mozilla kommt es laut Anwenderberichten zu Problemen.

Abhilfe schafft in solchen Fällen, die problematischen Anwendungen einzeln von dem geänderten Suchverhalten auszuschließen oder die Sicherheitsvorkehrungen für den Problemfall abzumildern. Hierzu legt man einen neuen DWORD-Wert mit dem Namen CWDIllegalInDllSearch unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Programmename.exe\ und setzt ihn auf den Wert "0", was zu dem von der Anwendung erwarteten Suchverhalten führt – aber sie möglicherweise auch wieder anfällig für DLL Hijacking macht.

Ein gangbarer Mittelweg ist der Wert "2": In diesem Fall wird das Arbeitsverzeichnis nur aus der Suchreichenfolge entfernt, wenn es sich auf einem Netzwerkverzeichnis befindet. Das schützt zumindest vor Angriffen aus der Ferne, bei denen man auf manipulierte SMB- oder WebDAV-Freigaben gelenkt wird. Der Wert "1" schützt nur vor DLL Hijacking in Verbindung mit WebDAV.

Die sauberste Lösung sind allerdings Herstellerpatches für die betroffenen Programme, die allerdings bislang nur vereinzelt verfügbar sind. So haben etwa die Entwickler von VLC und uTorrent schnell auf die veröffentlichten Exploits, die derzeit wie Pilze aus dem Boden schießen, reagiert und ihre Anwendungen vor DLL Hijacking geschützt. Wer sich zumindest einen groben Überblick über die zu erwartende Patch-Flut verschaffen möchte, sollte einen Blick auf Secunia PSI riskieren. Das Freeware-Tool greift auf eine große Programmdatenbank zurück und informiert, sobald eine installierte Anwendung in einer neueren Version zum Download bereitsteht. Eine Liste verwundbarer Applikationen liefern beispielsweise die Exploit Database und Corelan.be.

Laut Sicherheitsexperte Tim Brown sind auch einige Linux-Distributionen nicht vor der Problematik gefeit: Wurde die Variable LD_LIBRARY_PATH nicht gesetzt, lädt eine Anwendung möglicherweise Bibliotheken aus dem aktuellen Arbeitsverzeichnis des Anwenders nach – was man aber nicht so leicht ausnutzen könne, wie Brown gegenüber Threatpost äußerte. (rei)