Windows-Systeme: DLL-Lücke wird aktiv angegriffen

Sicherheitslücken Den Angaben des Internet Storm Centers zufolge, nehmen die Angriffe auf die so genannte DLL-Sicherheitslücke unter Windows-Betriebssystemen gegenwärtig sehr stark zu. Auch die Zahl der betroffenen Anwendungen steigt stetig an. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Einen Befehl zu nutzen: "Binde Bibliothek xyz ein, egal wo sie zu finden ist", ist zwar sehr bequem, aber unklug. Zumal in der Dokumentation stand, dass man den Befehl so nicht nutzen soll. Besser wäre es gewesen, wenn Microsoft gar nicht erst die Möglichkeit geboten hätte so einen Müll zu programmieren.
 
@Timurlenk: Ich halte es für gut, wenn eine Anwendung nur den Namen einer Bibliothek angeben muss. Eigentlich sollte das Betriebssystem alle Vorkehrungen für die Sicherheit treffen. Eigentlich könnten sie die Suche auf die Windowsverzeichnisse und den Ordner des Prozesses reduzieren. Dass im CWD gesucht wird, ist überflüssig. So viel ich weiß, werden in der Importtabelle von Anwendungen auch nur der Name der DLL vermerkt.
 
@FaceItReal: Verstehe grad nich, warum du ein minus dafür bekommst, sinn dieser sache war ja mal, das man nicht ein dutzend der selben libs im system hat & das ist eigentlich eine super idee gewesen.
 
@Timurlenk: Gibt aber auch eine praktische Seite. Kann mal die Situation geben, das man von einer bestimmten DLL eine bestimmte Version nur für ein Programm benutzen wollte, obwohl im Windows System Verzeichnis eine andere installiert ist. Diese habe ich dann immer in das Programmverzeichnis kopiert und fertig. Aber diese Situation hatte ich bisher erst einmal gehabt.
 
@Stefan1200: Gegen das Programmverzeichnis sagt ja auch keiner was, dort gehören DLLs schließlich auch hin. Aber DLLs in Bereichen zu suchen in denen offensichtlich jeder Schreibrechte hat ist eine Sache die wirklich mit erschießen bestraft werden sollte. Entweder die eigene DLL oder die vom System, aber alles andere ist schlicht und ergreifend Blödsinn.
 
@Johnny Cache: In der Regel ist aber das Programmverzeichnis auch das Arbeitsverzeichnis. Erstell mal eine Verknüpfung zu einer Datei. Als Arbeitsverzeichnis wird standardmäßig das Verzeichnis genommen, in dem sich die Datei befindet. Dasselbe ist der Fall beim Direktstart über den Explorer.
 
@Hancoque: Aber nur beim Starten. Starte mal Word, und öffne eine Datei über Datei öffnen. In dem Moment wird das Verzeichnis dieser Datei das Arbeitsverzeichnis. @FaceItReal: Du hast zwar recht, aber mit "CWD" können nun wirklich viele nichts anfangen, also schreib doch für die Allgemeinheit einfach Arbeitsverzeichnis... Immer diese Abkürzungen ;)...
 
@Johnny Cache: Yep, aber das Problem ist gar nicht SOOO neu, sondern wurde schon unter Windows 98 - Zeiten behandelt. Damals war man in Vorbereitung einer erweiterten Verwendung der Registry und war geplant, nur solche DLLs aufrufen lassen zu können (Siehe Developerbasics zu Windows XP), welche in einem gesicherten Bereich der Registry gegengeprüft werden können. Das ist aber dann später zugunsten der globalen Aufrufbarkeit vordefinierter Module und Bibliotheken fallen gelassen worden
 
@Timurlenk: Gewachsen ist diese Unsitte aus dem Wunsch "eigene" (meist ältere) DLLs zu nutzen, weil die Anwendung mit den aktuellen DLLs (im Systemverzeichnis, wo sie auch hingehören) nicht kompatibel ist. Ich sag nur GDIplus.dll, was da an Versionen rumgeistert ist nicht feierlich...
 
@Timurlenk: am 25.08 sagte ich "ich nenne das einen schweren os design fehler" und von dir kam "Wenn Du keine Ahnung hast, dann halte doch einfach die Klappe." wie erklärst du deinen wandel innerhalb von 3 tagen, hast du jetzt auch keine ahnung oder wurdest du erleuchtet.
 
@OSLin: Schön aus dem Zusammenhang gerissen. Natürlich ist es kein Designfehler, dass ich dynamische Binliotheken einbinden kann. Das nutzt ja auch jedes OS heutzutage. Aber es ist ein Fehler vom Anwendungsentwickler wenn er beliebige DLLs einbindet ohne Kontrolle woher sie kommen.
 
@OSLin: ...außerdem hattest DU gesagt: "kennst du noch ein os dem man so leicht etwas unterschieben kann aus NICHT zertifizierten quellen." DAS ist Quatsch, auch Linux und alle anderen OS nutzen dynamische Bibliotheken.
 
Das war von Microsoft aber auch wirklich verschlampt. Gibt es einen einzigen nicht blöden Grund, im selben Verzeichnis nach DLLs zu suchen, in dem auch die Datei liegt?
 
@Kirill: Also bei den Programmen, die ich so auf dem PC habe, liegen immer im selben Verzeichnis massenhaft DLLs, die von dem jeweiligen Entwickler des Programms stammen.
 
Gibt es nun irgendwo eine Übersicht, welche Programme betroffen sind? Dann könnte man möglicherweise die Nutzung entsprechend beschränken. So kommt mir das wie eine diffuse Terrorwarnung vor. In über 40 deutschen Städten sind sie zur Zeit besonders gefährdet, einem Anschlag zum Ofer zu fallen. Es gibt bereits mehrere Tote, wir sagen ihnen aber nicht, welche Städte betroffen sind.
 
@User27: Das Problem ist, dass es ein Designproblem vom OS ist, sprich: die Liste an Anwendungen ist wahrscheinlich extrem groß!
 
@Lofote: Das ist kein >Design Problem sondern ein Problem von schlampigen Programmierern dieser verschiedenen Programmen die betroffen sind.
 
Ah, wie ich gerade sehe, sind die schlampigen Programmierer durchaus auch bei MS zu finden: Office und Windows Mail sind auch betroffen. µTorrent wird noch erwähnt.
Wie kann man hier sein eigenes Posting editieren?
 
@User27: Ja kann man, guck mal in die Statuszeile Deines Beitrages (neben dem Username, das kleine blaue)
 
@User27: Wo siehst du das bzw. wo werden die betroffenen Programme erwähnt? Das wäre bestimmt für viele interessant, die diese Programme benutzen. Entweder man installiert dann den MS-Registryeintrag oder benutzt ein anderes Programm. Unter den Links in der News konnte ich (auf die Schnelle) nichts finden. Danke.
 
@~quelle~: ich sehe nur +/- und Antworten in der Kopfzeile meiner Einträge. Edit fehlt.
Mit etwas Recherche konnte ich noch Google Chrome, Firefox, Photoshop CS2, WinZip, Virtual PC, Word 2007 und PowerPoint 2010 finden. Eine offizielle Liste konnte ich leider nicht ausmachen. VLC hat das Problem mit der aktuellen Version wohl behoben.
Also Web-Client Dienst deaktivieren, über die Registry das Remote-Laden von DLLs abschalten macht schon Sinn. Mal sehen, was dann nicht mehr funktioniert.
Edit: hab das Edit-problem gelöst, wie man sieht. ;))
 
@User27: Ok, danke! Die sollten mal schleunigst eine Liste der ihnen bekannten betroffenen Programme Online stellen. PS: Man kann ja das Remote-Laden oder das Laden aus dem Arbeitsverzeichnis mit dem Registrierungseintrag erstmal systemweit untersagen, wenn dann einzelne Programme nicht funktionieren, dann kann man dafür Ausnahmen festlegen.
 
@~quelle~: was dann bedeutet, dass du ausnahmsweise die Schad-DLLs doch zulässt? Ergibt das Sinn?
 
@User27: Manche Programme laufen nicht mehr nach dem "Zuschrauben". Es ist dann die Entscheidung des Admins, dieses Risiko gegenüber dem Ausfall des Programmes zu wertschätzen. Wenn z.B. deine Buchhaltungssoftware gar nicht mehr funktioniert und dein Laden stillsteht, ist der Schaden wohl größer, als bei der Risikoabschätzung.
 
Wenn ich mir das Ganze so durch den Kopf gehen lasse, dann frage ich mich ernsthaft, ob die Programmierer wirklich schlampig waren, oder ob das ein gewünschtes Feature ist. Wozu sollte jemand eine DLL über das Internet anfordern, wenn das Programm auch auf einem Offline-Rechner laufen muss? Alle zum Betrieb nötigen DLLs sollten also sowieso verfügbar sein, ohne zugriff auf das Netz. Wozu müssten Excel, Powerpoint oder WinZip unbedingt ans netz? Ist das vielleicht ein verstecktes „Phone-Home“-Spielchen, das eine Evaluation der Software zulässt? (Neben weiteren Möglichkeiten, die ich hier gar nicht andenken will) Und sind deshalb alle so peinlich darauf erpicht, dass die Liste schön unter dem Teppich bleibt? Wo zum Teufel ist meine Alu-Kappe?
 
Ich bin bezüglich dieses Problems nicht so wissend. Was kann ich denn als User nun tun, um diese Problematik zu vermeiden. Nur die kritischen Programme nicht nutzen bzw. löschen oder gibt es noch andere Möglichkeiten? Es wäre schön, wenn sachliche Informationen kämen und nicht nur Abwertungen mit Minus oder dummen Kommentaren a la DAUs usw. Danke!
 
@Uechel: hier gibt es eine gute Anleitung: http://tinyurl.com/3ydsjou
 
@Uechel: Zur Zeit nur: http://support.microsoft.com/kb/2264107 installieren und entsprechend den Schlüssel setzen. Ist leider (noch) nicht für nicht-Versierte dokumentiert.
 
Ich habe Windows 7 x64 und die entsprechende Version des Updates heruntergeladen und auch schon installiert. Dann habe ich den KB-Artikel (http://support.microsoft.com/kb/2264107) gelesen. Dort steht, dass man im regedit das Verzeichnis "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" aufrufen und dort einen neuen DWORD-Wert erstellen soll. Leider ist nicht gesagt welcher, denn mein Reg.editor unterscheidet zwischen DWORD-Wert (32-Bit) und DWORD-Wert (64-Bit). Liegt wohl daran, dass es 64-Bit-Windows ist... Weiß jemand welche Art von DWORD-Wert da die richtige ist?
 
@feliciano: DWORD ist DWORD und immer 32-Bit. 64-Bit heißt QWORD.
WORD war immer schon 16-Bit, D für Double und Q für Quad.
Ich verwende auch Win7-64 und mein Regedit bietet mir nur ein DWORD an.
 
@Carbone: Danke für die Erklärung, erscheint mir soweit logisch.
Mir ist nur nach wie vor unklar, wieso mir der regedit zwei verschiedene DWORD-Werte andrehen will. Deiner Erklärung zufolge kann es ja gar keinen DWORD-Wert 64-Bit geben. Seltsam...
 
@User27 und Lofote: Ich danke Euch für die schnelle Antwort, habe die dort erwähnten Maßnahmen mal ausgeführt! Danke!
 
@Uechel: Was die bei Chip.de (http://tinyurl.com/3ydsjou) in der Anleitung aber vergessen haben, ist, dass man vorher den entsprechenden Microsoft-Patch (Link in der News) installieren muss, damit der Registry-Eintrag auch berücksichtigt wird! Warum ich, wie dort geschrieben wird, auch noch 2 Ports blocken soll, verstehe ich nicht so richtig.
 
Bei HEISE steht geschrieben, dass schon vor 12 Jahren davor gewarnt wurde und bisher scheint da nicht wirklich viel passiert zu sein von Seitens der Programmiere, ausgenommen von denen die dies ausnutzen. ^^
 
@anonyMouse: bin auch kein Experte, aber wenn ich das richtig verstanden habe, liegt das an der gewünschten Abwärtskompatibilität zu älteren Programmen. Wenn man das Problem über MS aus der Welt schaffen wollte, dann gäbe es ein riesen Bohai - Computerbild Schlagzeile: nix läuft mehr auf dem neuen MS Betriebssystem Win'YouNameIt' - und MS würde auf dem Betriebssystem sitzen bleiben.
 
@User27: Hatten doch aber genug Zeit dafür etwas zu unternehmen, egal welche Seite. Libraries gehören in den LIBS: Pfad, so wie sich das gehört. ^^ Da haben dann alles was davon.
 
@anonyMouse: Zeit hatten sie schon, aber es mangelte an Motivation. Jetzt ersetzt operative Hektik die bequeme geistige Windstille. ;)
 
Das war wohl ein schwerer Designfehler. Viel Spaß beim Redesign!
 
@BeveStallmer: Unnötig, einfach auf den Pinguin upgraden und alles ist gut.
 
@boofh: Das OS wo man ausführbaren Code als Bild tarnen kann?
 
@bluefisch200: MacOSX ungleich Linux, wann kapierst du das endlich mal?
 
@boofh: Eben. Man konfiguriert mal "schnell" SELinux und schon ist man sicher!
 
Dann los ihr Entwickler...dlls gehören ins Programverzeichnis und man gibt sie mit relativen Pfaden an...
 
Golem.de berichtet darüber, dass der Windows Würgaround Anwendungen ausfallen lassen würde: http://www.golem.de/1008/77546.html Auch sei die Liste anfälliger Anwendungen mittlerweile so lang, dass die Exploit-DB aufgegeben habe.
 
@Fusselbär: Stimmt, beim PC meiner Frau startete Torchlight nach dem Workaround nicht mehr, keine Fehlermeldung sondern kurz der Sanduhr-Kringel aber es kam nix. Ich mußte den Regeintrag also wieder zurückstellen :(
 
@Harald.L: Wie hast du denn den Eintrag gesetzt? Das Arbeitsverzeichnis sperren ist Humbug, ich habe z.B. 2 gesetzt und somit explizit nur WebDAV/UNC-Pfade ausgesperrt. Kein Problem und kein Sicherheitsloch. Wenn du dagegen 0xFFFFFFFF setzt, bist du selber schuld.
 
@Fusselbär: Und das Problem ist? Er muss Programmen die Funktion verweigern wenn diese im Arbeitsverzeichnis nach dlls suchen. Erstaunlich ist eher die Datenbank und die Frage wieso so viele Entwickler unfähig sind. Alles in Allem ist der Exploit dann doch eher nur schwer zu benutzen und eine dll zu platzieren, zudem muss man gezielt einzelne Programme angreifen und dazu kommt auch noch die UAC so dass die Programme selbst im modifizierten Zustand kaum Schaden anrichten können. Insgesamt wird das Problem doch etwas zu stark dramatisiert und es wird wohl bald (nach den Updates der Hersteller) niemand mehr davon sprechen. (ach ja, die Tuxe dürfen wieder auf Minus klicken ohne Begründung, wünsche einen angenehmen Abend)
 
@bluefisch200:
"Alles in Allem ist der Exploit dann doch eher nur schwer zu benutzen"

http://blog.metasploit.com/2010/08/better-faster-stronger.html

"eher nur schwer zu benutzen und eine dll zu platzieren"

http://www.offensive-security.com/offsec/microsoft-dll-hijacking-exploit-in-action/

"und dazu kommt auch noch die UAC"

http://www.macmark.de/windows_uac_security_placebo.php

Funktionieren hier keine URLs?
 
@MacMark: Infiziere mein System und ich glaube dir...aktuelle externe IP: 217.194.54.37, mein Windows PC hat eine fixe IP und Port forwarding auf dem CSS Server Port...
 
@bluefisch200: Was Du da machst, ist eine Aufforderung zu einer Straftat. Ich bin kein Blackhat. ^^
 
@MacMark: Och :D
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles