In Microsofts Systembibliothek NTDLL.DLL ist eine Funktion zum Umwandeln von Unicode-Pfadnamen zwischen DOS- und NT-Notation fehlerhaft. Angreifer könnten so Antiviren- und Antispyware-Programme unterwandern.
Nutzen Anwendungen die Standard-API-Aufrufe zum Dateizugriff, können sie auf Dateien nicht zugreifen oder diese löschen, wenn sie in DOS-Notation wie "C:\test " beziehungsweise in NT-Schreibweise "\\?\C:\test " mit einem oder mehreren abschließenden Leerzeichen erstellt wurden.
Bei diversen API-Aufrufen beispielsweise zum Anlegen oder Löschen von Dateien überprüft die Funktion RtlDosPathNameToNtPathName_U, ob der Dateiname in DOS- oder NT-Notation vorliegt. Dazu ruft sie erst RtlpWin32NTNameToNtPathName_U und anschließend RtlGetFullPathName_Ustr auf. Die letztere Funktion entfernt jedoch abschließende Leerzeichen im Rückgabepfad, wodurch bei Pfaden in DOS-Notation mit Spaces am Ende nicht die korrekten Pfade in NT-Notation zurückgeliefert werden.
Diverse Virenscanner und Antispyware-Produkte lassen sich so unterwandern: Bitdefender und Norman Antivirus erkennen solche Dateien überhaupt nicht, bei Antivir, F-Prot, NOD32, AVG und Avast erkennen zumindest die OnAccess-Scanner eine derartige infektiöse Datei, können sie jedoch nicht löschen. Kasperskys OnAccess-Wächter kann solche Dateien erkennen und desinfizieren, jedoch ist der OnDemand-Scanner dafür blind.
Pandas Internet-Security-Suite sowie McAfees Antivirus erkennen solche Dateien. Die Antispyware-Produkte SpySweeper, Spybot Search&Destroy sowie Ad-Aware sind vollständig blind für derartige Dateien, wie Mario Ballano Bárcena von 48bits.com in seiner Sicherheitsmeldung schreibt.
Nach kurzen Tests von heise Security sind solche Dateien nicht mit Windows-Bordmitteln ausführbar, allerdings sollte es ein Leichtes sein, ein kleines Programm zum Aufrufen dieser Dateien zu schreiben. Microsoft sollte zum nächsten Patchday eine korrigierte System-DLL ausliefern; die Antivirenhersteller täten gut daran, nicht über Standard-Windows-APIs auf Dateien zuzugreifen. Betroffen sind Windows 2000 mit Service Pack 4 und Windows XP mit Service Pack 2, jedoch ist sehr wahrscheinlich, dass auch weitere Microsoft-Betriebssysteme anfällig für diese Schwachstelle sind.
Siehe dazu auch:
* Path conversion design flaw in NTDLL, Sicherheitsmeldung von Mario Ballano Bárcena
Quelle und Links :
http://www.heise.de/security/news/meldung/72985
