DLL-Lücke: Jetzt auch mit EXE-Dateien

Offenbar war die DLL-Schwachstelle (Binary Planting) unter Windows nur die Spitze des Eisberges: Die unsichere Suchreihenfolge zum Laden ausführbaren Codes betrifft nicht nur Bibliotheken, sondern auch EXE-Dateien – und dort greifen die von Microsoft vorgeschlagenen Maßnahmen zur Eindämmung des Problems nicht.

In einem Fehlerbericht zum kürzlich aktualisierten Browser Safari beschreibt der Sicherheitsdienstleister ACROS das Problem beispielhaft: Ein Angreifer legt auf einem Netzlaufwerk eine HTML-Datei und eine manipulierte Datei namens explorer.exe ab. Öffnet das Opfer die HTML-Datei mit Safari, passiert zunächst nichts. Allerdings enthält die Datei einen Verweis auf eine URI mit dem Anfang "file://". Dies führt dazu, dass Windows versucht, den Windows Explorer (explorer.exe) zu laden. Leider lädt Windows die Datei aus dem aktuellen Arbeitsverzeichnis (dem Netzlaufwerk) und führt diese aus.

Laut ACROS greifen die bislang vorgestellten Lösungen zur DLL-Schwachstelle nicht. Der CWDIllegalInDllSearch-Hotfix verhindert das Nachladen von Code aus dem aktuellen Arbeitsverzeichnis nur bei DLLs, nicht jedoch bei EXE-Dateien. Gleiches gilt für die SetDLL-Directory-Funktion. Laut ACROS gibt es leider keine vergleichbare Funktion für EXE-Dateien, daher brächte es nur Abhilfe, wenn die Anwendung vor dem Aufruf weiterer Prozesse, das Arbeitsverzeichnis an das Ende der Suchpfade stellt. Dabei gibt es jedoch Unterschiede, ob ein Prozess mit ShellExecute oder CreateProcess gestartet wird. Weitere Details dazu hat ACROS in seinem Blogeintrag Binary Planting Goes "EXE" zusammengefasst.

Eine Demo zum DLL-Problem stellt ACROS auf der Seite Online Binary Planting Exposure Test zur Verfügung. Die einzig funktionierende Methode, Angriffe aus der Ferne zu verhindern, scheint derzeit das Abschalten des WebDAV-Clients (unter Diensten) zu sein. (dab)