Remote Binary Planting: Die unpatchbare Lücke in Windows

Der von Microsoft angebotene Mitigation-Patch ist ebenfalls mit großen Problemen behaftet. Er implementiert den neuen Registry-Parameter CWDIllegalInDllSearch, den man entweder global in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager oder pro Anwendung in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<Name der EXE-Datei> setzen kann.

Damit wird das aktuelle Verzeichnis von der Suche nach DLL-Dateien ausgenommen. Optional lässt sich spezifizieren, dass dieses Verhalten nur für Netzwerklaufwerke gelten soll.

Die globale Nutzung dieses Parameters ist einfach, aber man riskiert, dass viele Anwendungen nicht mehr funktionieren – und zwar insbesondere auch solche, die gar kein Sicherheitsproblem haben. Wenn eine Anwendung beispielsweise mehrere Sprachen unterstützt, indem sie die DLL language.dll nutzt, ist es sinnvoll Unterverzeichnisse anzulegen, etwa de-DE, en-US und it-IT. In jedes Verzeichnis kommt eine eigene Version von language.dll in der jeweiligen Sprache.

Wenn die Applikation nach dem Start das aktuelle Verzeichnis auf das Unterverzeichnis für die konfigurierte Sprache setzt und anschließend language.dll ohne Pfadangabe lädt, ist das ein normales Verhalten der Anwendung. Der globale Einsatz von CWDIllegalInDllSearch würde dazu führen, dass das Programm seine Sprachdatei nicht mehr findet.

Konfiguriert man den Parameter für jede verwundbare Applikation einzeln, ist das mit großem Aufwand verbunden. Zudem steht man vor dem Problem, dass von vielen Applikationen nicht öffentlich bekannt ist, dass sie über Remote Binary Planting verwundbar sind.

Die einzig mögliche Lösung ist, CWDIllegalInDllSearch global einzuschalten und zu überprüfen, welche Applikationen danach nicht mehr richtig funktionieren. Dann kann man für diese Programme CWDIllegalInDllSearch einzeln abschalten und hoffen, dass die jeweilige Anwendung nicht verwundbar ist. Eine wirklich gute Lösung ist das allerdings nicht.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

So günstig & effizient war Content Produktion noch nie: Neues Content System erobert deutschen Markt

Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…

5 Tagen ago

Lenovo übertrifft die Erwartungen und hebt Prognose an

KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…

6 Tagen ago

Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…

6 Tagen ago

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Woche ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Woche ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Woche ago