Remote Binary Planting: Die unpatchbare Lücke in Windows

Microsoft hat eine Reihe von Tipps und Tools veröffentlicht, die allerdings mindestens unbefriedigend und teilweise auch irreführend oder sogar falsch sind. So schreiben die Redmonder in ihrem Sicherheitsratschlag: „Die Schwachstelle kann über Netzwerkdateisysteme wie WebDAV und SMB ausgenutzt werden."

Daraus könnte man schließen, dass lokale Laufwerke grundsätzlich nicht verwundbar sind. Richtig ist aber, dass eine Schad-DLL auch lokal vorhanden sein kann. Es ist für einen Angreifer lediglich schwerer, eine DLL auf eine lokale Platte des Benutzers zu platzieren.

Weiter heißt es: "Diese Schwachstelle erfordert, dass der Angreifer den Benutzer überzeugt, eine Datei mit einem verwundbaren Programm von einem entfernten Netzwerklaufwerk zu öffnen."

Auch das ist nicht richtig: Überzeugungsarbeit muss nicht geleistet werden. Es reicht aus, die Malware-DLL in ein Verzeichnis zu kopieren, das der Benutzer regelmäßig nutzt. Wenn ein Anwender eine ihm vertraute Datei öffnet, wird die DLL ausgeführt.

Auf seiner MSDN-Seite zum Thema DLL-Security empfiehlt der Softwareriese, per Registry-Eintrag die Funktion "SafeDllSearchMode" zu aktivieren. Das ist in der Regel aber nicht erforderlich, da dieses Feature ab Windows XP SP2 bereits standardmäßig aktiviert ist. Es löst auch nicht das Problem, da das aktuelle Verzeichnis immer noch vor dem Pfad abgesucht wird.

Als einen möglichen Workaround empfiehlt Microsoft den Dienst WebClient zu deaktivieren und die TCP-Ports 139 und 445 an der Firewall zu blockieren. Dann können Nutzer weder auf WebDAV-Shares zugreifen noch SMB-Shares im Internet mounten. Auch das ist wenig hilfreich, wenn ein Angreifer im Unternehmen sitzt und eine Malware-DLL in ein Intranet-Verzeichnis legt.