Neues Tool soll gegen "Binary Planting" schützen

Microsoft Die Entwickler von Microsoft haben ein neues grafisches Werkzeug zur Verfügung gestellt, mit dem sich die Nutzer von Windows-Betriebssystemen gegen Angriffe auf die so genannte DLL-Schwachstelle besser schützen können. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Hmm wie wäre es wenn Programme eine MD5 Summe ihrer mitgelieferten dlls angeben müssten wenn sie eine aufrufen, so könnte Windows prüfen ob es die richtige ist...
 
@bluefisch200: MD5 kann man manipulieren. Siehe folgender Artikel: http://bit.ly/aN8b80
 
@bluefisch200: dazu kommt, dass die md5s bei programmupdates aktualisiert werden müssen...
 
@XP-FREAK: ... was in sich sinnfrei ist, wenn auch die Malware dann seinerseits die Prüfsumme in der Tabelle aktualisieren kann.
 
@bluefisch200: Wenn jedes Programm so eine Änderung erhalten müsste, könnte die jeweiligen Programmierer auch gleich einfach dafür sorgen, dass sie nicht gegen Binary-Planting anfällig sind. Man muss ja nur konkrete Pfadangaben für die DLL festlegen mit Parametern die Suche im aktuellen Arbeitsverzeichnis unterbinden.
 
@bluefisch200: Wenn überhaupt, dann läuft das nur über ne digitale Signatur, genauso wie beim Signaturzwang für Treiber unter Windows x64. Ne einfache Prüfsumme ist zu einfach zu umgehen. Und wenn man bedenkt wie viele Programme es gibt und wie viele davon zig DLLs mitbringen, dann stellt sich das alles doch als unpraktikabel heraus. Ich denke hier sind die Programmierer der Anwendungen gefragt. Sie müssen verhindern dass ihre Programme DLLs aus nicht vorgesehenen Pfaden laden.
 
@bluefisch200: Wie DennisMoore es schon leicht angesprochen hat, gibt es das bereits. Das ganze nennt sich digitale Signur. Zwar auch nicht 100%ig sicher, aber die Entwickler können schon seit Jahren ihre DLLs signieren lassen, sodass das Hauptprogramm nur die eigenen, unveränderten DLLs akzeptiert. (wie gesagt ist das natürlich auch nicht 100%ig sicher, aber bei weitem besser als gar nichts)
 
Wie wäre es mit einer Checksumme, die von Anfang festgelegt wird.
Jede dll Datei hat eine dazugehörige exe Datei und es wäre doch nun einfach davon eine extakt genaue Checksumme zwischen der exe und dll Dateien zu verbinden.
Möglichkeiten gibt es genug, nur lohnt sich der Aufwand?
 
@phoenix0870: Dabei würde aber der Sinn einer DLL fast ganz verloren gehen. Das praktische an denen ist ja, dass sie dynamisch und von mehreren Programmen gleichzeitig benutzt werden können. Zum Beispiel wenn MS eine DirectX .dll updated um sie schneller zu machen oder Bugs beseitigt. Es gibt dann viele Programme die darauf mit der API zugreifen wollen und in diesem Fall ist nicht einmal der Hersteller von dll und exe gleich.
 
@phoenix0870: Wenn man schon Gelegenheit hat die manipulierte DLL unterzujubeln, dann hat man auch die Gelegenheit schnell mit Search&Replace die originale Checksumme, die in der EXE-Datei gespeichert sein muss, durch eine manipulierte zu ersetzen.
 
@phoenix0870: Aber in den Taskmanager eine Betriebssystemes das so arbeitet möchte ich nicht reinschauen müssen. Da wäre dann eine Suchfunktion nur für den Taskmanager angebracht denn diese Liste der aktiven .exe Dateien würde endlos lang sein.
 
Warum setzen Leute auch 0xFFFFFF? Ich habe bei mir 2 gesetzt und bekomme absolut keine Probleme.
 
diese "lücke", wenn man es denn überhaupt so nennen kann, ist halt schon seit x jahren bekannt. versteh nicht warum da jetzt so ein hype drum gemacht wird? sucht euch ein programm das verzeichnisse auf neue dateien überwachen kann, bei dem ihr die eurer meist verwendeten programme angibt und welches dann wie ein av ne meldung ausgibt "ginawild.avi.exe hat eine opengl32.dll in steam/steamapps/counter-strike/ erstellt" und schon wisst ihr "aha, das sollte es eigentlich nicht und schon könnt ihr den eindringling entfernen :x und so zerschiesst ihr euch auch nicht irgendwelche programme wie mit dem regfix.. zum programm path kann man natürlich auch noch die PATH var aus windows auslesen und diese paths überprüfen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen