Remote Binary Planting: Die unpatchbare Lücke in Windows

Der von Microsoft angebotene Mitigation-Patch ist ebenfalls mit großen Problemen behaftet. Er implementiert den neuen Registry-Parameter CWDIllegalInDllSearch, den man entweder global in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager oder pro Anwendung in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<Name der EXE-Datei> setzen kann.

Damit wird das aktuelle Verzeichnis von der Suche nach DLL-Dateien ausgenommen. Optional lässt sich spezifizieren, dass dieses Verhalten nur für Netzwerklaufwerke gelten soll.

Die globale Nutzung dieses Parameters ist einfach, aber man riskiert, dass viele Anwendungen nicht mehr funktionieren – und zwar insbesondere auch solche, die gar kein Sicherheitsproblem haben. Wenn eine Anwendung beispielsweise mehrere Sprachen unterstützt, indem sie die DLL language.dll nutzt, ist es sinnvoll Unterverzeichnisse anzulegen, etwa de-DE, en-US und it-IT. In jedes Verzeichnis kommt eine eigene Version von language.dll in der jeweiligen Sprache.

Wenn die Applikation nach dem Start das aktuelle Verzeichnis auf das Unterverzeichnis für die konfigurierte Sprache setzt und anschließend language.dll ohne Pfadangabe lädt, ist das ein normales Verhalten der Anwendung. Der globale Einsatz von CWDIllegalInDllSearch würde dazu führen, dass das Programm seine Sprachdatei nicht mehr findet.

Konfiguriert man den Parameter für jede verwundbare Applikation einzeln, ist das mit großem Aufwand verbunden. Zudem steht man vor dem Problem, dass von vielen Applikationen nicht öffentlich bekannt ist, dass sie über Remote Binary Planting verwundbar sind.

Die einzig mögliche Lösung ist, CWDIllegalInDllSearch global einzuschalten und zu überprüfen, welche Applikationen danach nicht mehr richtig funktionieren. Dann kann man für diese Programme CWDIllegalInDllSearch einzeln abschalten und hoffen, dass die jeweilige Anwendung nicht verwundbar ist. Eine wirklich gute Lösung ist das allerdings nicht.