Thema: Neue Windows-Schwachstelle: Anwendungen laden Schadcode aus dem Netz nach

[SiLæncer]

Die Art wie Windows Bibliotheken für Anwendungen anderer Hersteller nachlädt, lässt sich offenbar von Angreifern ausnutzen, um eigene Programme auf dem System eines Opfers auszuführen. Ursache des Problems soll es diversen Hinweisen zufolge sein, dass Anwendungen beim Laden der mit ihnen verknüpften Dateien (Safe Files) von externen Quellen versuchen, bestimmte Bibliotheken ebenfalls von dort zu laden.

Hinterlegt ein Angreifer auf einem Netzlaufwerk eine MP3-Datei und zusätzlich eine präparierte DLL (mit dem entsprechenden Namen), so lädt etwa ein Medienplayer beim Start unter Umständen die DLL mit und führt den Code des Angreifers aus. Das Opfer muss die Datei allerdings selbst auf dem Netzlaufwerk öffnen – was mit Social Engineering für Angreifer aber in der Regel keine Hürde darstellt.

Welche Anwendungen genau betroffen sind, ist noch nicht bekannt. Die Schwachstelle soll sich aber auch über HTTP via WebDAV ausnutzen lassen. Laut Metasploit-Entwickler HD Moore sollen rund 40 Anwendungen zumeist anderer Hersteller betroffen sein, es soll jedoch "einige Überraschungen" geben. Weitere Details gibt es derzeit nicht, auch nicht, unter welchen Windows-Versionen der Fehler zum Tragen kommt. Moore will im Laufe des Tages mehr Informationen veröffentlichen.

Microsoft soll über das Problem informiert sein und es derzeit untersuchen. Das Problem war publik geworden, nachdem der Sicherheitsdienstleister ACROS am gestrigen Mittwoch einen Fehlerbericht veröffentlichte, in dem ein sehr ähnlicher Fehler in Apples iTunes für Windows beschrieben ist – der Fehler ist in iTunes 9.2.1 seit vier Wochen behoben.

Mangels Patch und fehlender Informationen über die betroffenen Anwendungen lässt sich das Problem derzeit nur durch das Blocken von SMB- und WebDAV-Verbindungen ins Internet lösen.

Quelle : www.heise.de

[SiLæncer]

In einem Advisory warnt Microsoft vor einem verbreiteten Programmierfehler, durch den Programme Schadcode in präparierten DLL-Dateien ausführen. Dabei öffnet der Anwender etwa ein Bild auf einem Netzwerklaufwerk. Die installierte Anwendung lädt dann unter Umständen auch Bibliotheken, in denen sich Schadcode befinden könnte, aus diesem Netzwerkverzeichnis nach.

Nachdem der Sicherheitsdienstleister Acros das problematische Verhalten in iTunes entdeckt hatte, erklärte der Metasploit-Entwickler HD Moore dass rund 40 weitere Anwendungen davon betroffen seien. Thierry Zoller zufolge ist unter anderem Photoshop anfällig. In iTunes hat Apple das Problem bereits behoben; welche anderen Anwendungen noch anfällig sind, ist derzeit nicht bekannt.

Zum Schutz empfiehlt Microsoft derzeit, den WebDAV-Dienst zu beenden und ausgehende SMB-Verbindungen durch die Firewall zu blockieren. Darüber hinaus stellen sie ein Tool bereit, mit dem man das Suchverhalten beim Laden von Bibliotheken durch Registry-Einträge beeinflussen kann. In einem Blog-Eintrag erklären Microsofts-Sicherheitspezialisten die Bedeutung der einzelnen Werte.

Ganz neu ist dieses Szenario nicht: Die NSA hat bereits vor 12 Jahren in ihren "Windows NT Security Guidelines" vor "DLL Spoofing" gewarnt. Und Microsoft erklärt zwar Entwicklern bereits seit geraumer Zeit, wie man Bibliotheken richtig lädt. Doch offenbar halten sich viele Applikationen nicht an diese Richtlinien. Ob es jemals einen Patch geben wird, der das Problem aus der Welt schafft, ist zumindest zweifelhaft. Immerhin erklärt Microsoft, dass es nicht möglich sei, das Problem direkt in Windows zu beheben, da dann dokumentierte Funktionen nicht mehr wie erwartet funktionieren würden.

Quelle : www.heise.de

[SiLæncer]

Nachdem HD Moore Einzelheiten zu dem vergangene Woche bekannt gewordenen DLL-Problem  unter Windows und ein Tool zum Testen veröffentlicht hat, tauchen nun immer mehr Berichte über betroffene Anwendungen und dazu passende Exploits auf. Neben Firefox und Opera zählen zu den verwundbaren Programmen verbreitete Anwendungen wie Powerpoint, Photoshop, Dreamweaver, VLC, uTorrent und Wireshark – jeweils in der aktuellen Version. Sie alle greifen auf eine unsichere Variante zum Laden von DLLs zurück, bei der in der Suchreihenfolge zu einem frühen Zeitpunkt das aktuelle Verzeichnis steht – und das kann auch ein Netzlaufwerk sein.

Die Exploit-DLLs sind einfach gestrickt und enthalten neben der Payload oft nur leere Funktionen. In der Exploit Database findet man unter dem Suchbegriff DLL Hijacking zudem laufend neue Exploits, die es gezielt auf bekannte Anwendersoftware abgesehen haben. Der Metasploit-Entwickler HD Moore bietet mit DLLHijackAuditKit ein Werkzeug an, mit dem man sich selbst auf die Suche nach verwundbaren Applikationen begeben kann.

Microsoft hat zwar gestern ein Advisory zu dem Problem veröffentlicht, einen Patch wird es aber vermutlich nicht geben. Vielmehr werden die jeweiligen Hersteller ihre Produkte anpassen müssen. Unterdessen brodelt in der Security-Szene die Diskussion, ob man die Anwendungsentwickler überhaupt für dieses Problem verantwortlich machen kann. Secunia meint, es sei auf schlechte Programmiergewohnheiten zurückzuführen, unvollständige Pfade anzugeben, aufgrund dessen Windows die Arbeit überlassen werde. Witzigerweise bläst auch der VLC-Entwickler Geoffroy Couprie in das gleiche Horn, obwohl VLC ersten Tests zufolge ebenfalls betroffen ist.

Wie Windows sucht, bestimmt die Option "SafeDLLSearchMode" die die Suchreihenfolge festlegt. Ist sie aktiviert, tritt das Problem nicht auf; ist sie deaktiviert, sucht Windows auch im aktuellen Arbeitsverzeichnis nach DLLs und lädt sie.

Quelle : www.heise.de

[SiLæncer]

Die DLL-Schwachstelle in vielen Anwendungen nutzen Kriminelle bereits für ihre Zwecke aus, wie das Internet Storm Center berichtet. Unter den angegriffenen Anwendungen befinden sich Microsoft Office, Windows Mail und uTorrent. Die Zahl der verwundbaren Anwendungen steigt fast stündlich: Durchsucht man etwa die Exploit Database nach DLL Hijacking, bekommen man laufend neue Exploits präsentiert, die es auf beliebte Anwendersoftware abgesehen haben. Darunter auch bekannte Namen wie Photoshop, VLC und Thunderbird.

Beim sogenannten "DLL Hijacking" oder auch "Binary Planting" nutzen die Angreifer eine Eigenheit des DLL-Sucherverhaltens von Windows: Hat ein Entwickler den Pfad einer DLL nicht explizit festgelegt, sucht das Betriebssystem der Reihe nach an verschiedenen Ordnern nach ihr. An vorletzter Stelle steht in der Regel das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann. Mitunter versuchen Anwendungen DLLs zu laden, ohne zu wissen, ob sie wirklich installiert sind; beispielsweise Videocodes. Fordert das Programm eine DLL an, die sich nicht auf allen Systemen befindet, durchforstet das Betriebssystem zwangsläufig auch das Arbeitsverzeichnis.

Startet man zum Beispiel den Media Player Classic direkt mit einer MP3-Datei von einer SMB- oder WebDAV-Freigabe, sucht das Programm hier nach der optionalen Codec-Bibliothek iacenc.dll. Findet es dort eine präparierte Datei mit diesem Namen, führt es den darin enthaltenen Schadcode aus. Schützen kann man sich mit einem Microsoft-Tool für Systemadmins: Nach der Installation kann man das DLL-Suchverhalten mit einem neu anzulegenden Registry-Eintrag beeinflussen und das Arbeitsverzeichnis sogar ganz aus der Suchreihenfolge entfernen. Unterdessen sind die Softwareentwickler gefragt, die Lücke in ihren Anwendungen zu patchen – Microsoft wird voraussichtlich keinen Patch dazu veröffentlichen.

Man kann trefflich darüber streiten, ob die Dokumentation, die Entwicklerwerkzeuge oder die Programmierer selbst Schuld an dieser Misere sind. Die NSA hat bereits vor 12 Jahren vor dem zugrunde liegenden Problem gewarnt und vor über zwei Jahren hat auch Microsoft-Sicherheitsexperte David LeBlanc in seinem Blog auf die Gefahr hingewiesen. Bis dato war aber wohl niemanden bewusst, dass sich die Lücke auch über Netzfreigaben ausnutzen lässt.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler reagieren nach und nach mit Patches auf die Schwachstelle, wie uns ein Leser berichtet hat. So sind etwa VLC in Version 1.1.4 und uTorrent in Version 2.0.4 vor DLL Hijacking geschützt.

Quelle : www.heise.de

[SiLæncer]

Kein Ende in Sicht. Während erste Softwarehersteller tatsächlich schon Patches für Binary Planting alias DLL-Hijacking veröffentlichen, gibt es für das Grundproblem keine Lösung. Der Microsoft-Workaround hat Nachteile und lässt Anwendungen sogar ausfallen.

Microsofts einziger Workaround für eine konzeptbedingte Sicherheitslücke lässt einige bekannte Anwendungen ausfallen. Das passiert, wenn der Anwender den Registrierungseintrag CWDIllegalInDllSearch global setzt. CWD steht für Current Working Directory (Arbeitsverzeichnis) und ist nicht mit dem Programmverzeichnis zu verwechseln. Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnis einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Wir konnten das mit unserem Testsystem, ein Windows 7 in der 64-Bit-Version, zum Teil auf lokaler Ebene nachvollziehen. Nachdem CWDIllegalInDllSearch global auf 0xFFFFFFFF gesetzt und damit das Arbeitsverzeichnis im DLL Suchpfad komplett ausgeschlossen wurde, störte sich Googles Chrome regelmäßig an einer fehlenden DLL. Der Browser blieb zwar benutzbar, aber jede Tab-Öffnung und jeder Adresswechsel war mit einer Fehlermeldung verbunden. Ein kurzer Test mit Starcraft 2 sorgte für einen Ausfall. Der Blizzard-Updater arbeitete zwar, aber das Spiel quittierte einen Startversuch mit einer Fehlermeldung. Valves Steam-Service wollte ebenfalls nicht mehr arbeiten. Steam-Spiele starteten dafür weiterhin, das muss allerdings nicht für alle Spiele gelten. Probleme mit Office 2010 gab es hingegen nicht.

Damit ist verständlich, warum Microsoft das Arbeitsverzeichnis nicht selbst aus dem DLL-Suchpfad herauspatcht. Für Systemadministratoren bleibt nur übrig, alle Anwendungen auf Schwachstellen hin zu überprüfen und für jede einzelne Anwendung CWDIllegalInDllSearch entsprechend zu setzen. Alternativ kann das lokale Risiko in Kauf genommen werden, indem nur SMB oder Webdav-Freigaben nicht mehr als Arbeitsverzeichnis verwendet werden. Dafür muss CWDIllegalInDllSearch entweder auf 1 oder 2 gesetzt werden. Doch auch hier könnte es unerwartete Nebeneffekte geben.

Neben dem Videolan-Projekt hat auch das µTorrent-Projekt äußerst schnell reagiert und die Version 2.0.4 veröffentlicht. Zahlreiche andere Programme bleiben weiterhin anfällig.

Die Liste anfälliger Anwendungen ist bereits so lang, dass die Exploit-DB aufgegeben hat. Statt jedem Exploit einen Eintrag zu gewähren, gibt es nur noch den aktualisierten Blogeintrag. Ein Luxus, den sich die Vergeber der CVE-IDs nicht gönnen wollen. Sie werden für jedes einzelne anfällige Programm eine CVE-ID vergeben, die für die Auflistung der Sicherheitslücken verwendet wird.

Eine weitere Liste verwundbarer Anwendungen findet sich unter corelan.be. Es werden hier nur Anwendungen gelistet, die auf platzierte DLLs im Arbeitsverzeichnis anfällig sind. Hauptproblem sind fehlende DLLs, die Anwendungen suchen, obwohl sie auf einigen Systemen gar nicht existieren. Die können einfach im Arbeitsverzeichnis einem Nutzer untergeschoben werden.

Quelle : www.golem.de

[SiLæncer]

Wer die in zahlreichen Programmen zu findende DLL-Lücke mit dem seit rund einer Woche erhältlichen Microsoft-Tool abdichten will, handelt sich unter Umständen Probleme ein: Ist der von Hand anzulegende Registry-Eintrag CWDIllegalInDllSearch  im Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" zu streng eingestellt, sind Programme wie Chrome unbedienbar. Microsoft hat jetzt ein "Fix-it" veröffentlicht, das den Key automatisch anlegt und auf den milderen Wert "2" setzt – so ist man zumindest vor unmittelbarem DLL Hijacking über Netzwerkfreigaben geschützt. Das eigentliche Schutz-Tool muss man zuvor allerdings dennoch installieren. Microsoft spielt derzeit mit dem Gedanken, es über Windows Update auszuliefern.

Wer auf Nummer sicher gehen und sich auch vor der Bedrohung durch DLL Hijacking von lokalen Datenträgern wie USB-Sticks schützen will, muss den Wert auf "ffffffff" setzen, wodurch das Arbeitsverzeichnis in jedem Fall aus dem DLL-Suchpfad entfernt wird. Auf Problemfälle wie Chrome, die sich an der geänderten Suchreihenfolge stören, muss man dann mit einem Registry-Key eine Ausnahmeregeln definieren. Für Chrome sieht der Key beispielsweise so aus: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe". Hier legt man einen DWORD-Wert CWDIllegalInDllSearch mit dem Wert "0" an.

Quelle : www.heise.de

[SiLæncer]

Offenbar war die DLL-Schwachstelle  (Binary Planting) unter Windows nur die Spitze des Eisberges: Die unsichere Suchreihenfolge zum Laden ausführbaren Codes betrifft nicht nur Bibliotheken, sondern auch EXE-Dateien – und dort greifen die von Microsoft vorgeschlagenen Maßnahmen zur Eindämmung des Problems nicht.

In einem Fehlerbericht zum kürzlich aktualisierten Browser Safari beschreibt der Sicherheitsdienstleister ACROS das Problem beispielhaft: Ein Angreifer legt auf einem Netzlaufwerk eine HTML-Datei und eine manipulierte Datei namens explorer.exe ab. Öffnet das Opfer die HTML-Datei mit Safari, passiert zunächst nichts. Allerdings enthält die Datei einen Verweis auf eine URI mit dem Anfang "file://". Dies führt dazu, das Windows versucht, den Windows Explorer (explorer.exe) zu laden. Leider lädt Windows die Datei aus dem aktuellen Arbeitsverzeichnis (dem Netzlaufwerk) und führt diese aus.

Laut ACROS greifen die bislang vorgestellten Lösungen zur DLL-Schwachstelle nicht. Der CWDIllegalInDllSearch-Hotfix verhindert das Nachladen von Code aus dem aktuellen Arbeitsverzeichnis nur bei DLLs, nicht jedoch bei EXE-Dateien. Gleiches gilt für die SetDLL-Directory-Funktion. Laut ACROS gibt es leider keine vergleichbare Funktion für EXE-Dateien, daher brächte es nur Abhilfe, wenn die Anwendung vor dem Aufruf weiterer Prozesse, das Arbeitsverzeichnis an das Ende der Suchpfade stellt. Dabei gibt es jedoch Unterschiede, ob ein Prozess mit ShellExecute oder CreateProcess gestartet wird. Weitere Details dazu hat ACROS in seinem Blogeintrag Binary Planting Goes "EXE" zusammengefasst.

Eine Demo zum Problem stellt ACROS auf der Seite Online Binary Planting Exposure Test zur Verfügung. Die einzig funktionierende Methode, Angriffe aus der Ferne zu verhindern, scheint derzeit das Abschalten des WebDAV-Clients (unter Diensten) zu sein.

Quelle : www.heise.de