zurück zum Artikel

DLL-Lücke: Microsoft doktert weiter an Workaround herum

Ronald Eikenberg

Microsoft hat ein Fix-it veröffentlicht, das den zum Schutz vor der DLL-Lücke erforderlichen Registry-Eintrag automatisch anlegt.

Wer die in zahlreichen Programmen zu findende DLL-Lücke [1] mit dem seit rund einer Woche erhältlichen Microsoft-Tool [2] abdichten will, handelt sich unter Umständen Probleme [3] ein: Ist der von Hand anzulegende Registry-Eintrag CWDIllegalInDllSearch im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" zu streng eingestellt, sind Programme wie Chrome unbedienbar. Microsoft hat jetzt ein "Fix-it" veröffentlicht [4], das den Key automatisch anlegt und auf den milderen Wert "2" setzt – so ist man zumindest vor unmittelbarem DLL Hijacking über Netzwerkfreigaben geschützt. Das eigentliche Schutz-Tool muss man zuvor allerdings dennoch installieren. Microsoft spielt derzeit mit dem Gedanken, es über Windows Update auszuliefern [5].

Wer auf Nummer sicher gehen und sich auch vor der Bedrohung durch DLL Hijacking von lokalen Datenträgern wie USB-Sticks schützen will, muss den Wert auf "ffffffff" setzen, wodurch das Arbeitsverzeichnis in jedem Fall aus dem DLL-Suchpfad entfernt wird. Auf Problemfälle wie Chrome, die sich an der geänderten Suchreihenfolge stören, muss man dann mit einem Registry-Key eine Ausnahmeregeln definieren [6]. Für Chrome sieht der Key beispielsweise so aus: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe". Hier legt man einen DWORD-Wert CWDIllegalInDllSearch mit dem Wert "0" an. (rei [7])

URL dieses Artikels:
https://www.heise.de/-1070416

Links in diesem Artikel:
[1] https://www.heise.de/news/Angreifer-nutzen-DLL-Luecke-in-Office-und-Co-Update-1068169.html
[2] http://support.microsoft.com/kb/2264107
[3] https://www.heise.de/news/Microsoft-Tool-gegen-DLL-Luecke-stoert-Programme-1069075.html
[4] http://blogs.technet.com/b/srd/archive/2010/08/31/an-update-on-the-dll-preloading-remote-attack-vector.aspx
[5] http://blogs.technet.com/b/msrc/archive/2010/08/31/update-on-security-advisory-2269673.aspx
[6] https://www.heise.de/news/Microsoft-Tool-gegen-DLL-Luecke-stoert-Programme-1069075.html
[7] mailto:rei@heise.de

Copyright © 2010 Heise Medien