Remote Binary Planting: Die unpatchbare Lücke in Windows

Der von Microsoft angebotene Mitigation-Patch ist ebenfalls mit großen Problemen behaftet. Er implementiert den neuen Registry-Parameter CWDIllegalInDllSearch, den man entweder global in HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager oder pro Anwendung in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<Name der EXE-Datei> setzen kann.

Damit wird das aktuelle Verzeichnis von der Suche nach DLL-Dateien ausgenommen. Optional lässt sich spezifizieren, dass dieses Verhalten nur für Netzwerklaufwerke gelten soll.

Die globale Nutzung dieses Parameters ist einfach, aber man riskiert, dass viele Anwendungen nicht mehr funktionieren – und zwar insbesondere auch solche, die gar kein Sicherheitsproblem haben. Wenn eine Anwendung beispielsweise mehrere Sprachen unterstützt, indem sie die DLL language.dll nutzt, ist es sinnvoll Unterverzeichnisse anzulegen, etwa de-DE, en-US und it-IT. In jedes Verzeichnis kommt eine eigene Version von language.dll in der jeweiligen Sprache.

Wenn die Applikation nach dem Start das aktuelle Verzeichnis auf das Unterverzeichnis für die konfigurierte Sprache setzt und anschließend language.dll ohne Pfadangabe lädt, ist das ein normales Verhalten der Anwendung. Der globale Einsatz von CWDIllegalInDllSearch würde dazu führen, dass das Programm seine Sprachdatei nicht mehr findet.

Konfiguriert man den Parameter für jede verwundbare Applikation einzeln, ist das mit großem Aufwand verbunden. Zudem steht man vor dem Problem, dass von vielen Applikationen nicht öffentlich bekannt ist, dass sie über Remote Binary Planting verwundbar sind.

Die einzig mögliche Lösung ist, CWDIllegalInDllSearch global einzuschalten und zu überprüfen, welche Applikationen danach nicht mehr richtig funktionieren. Dann kann man für diese Programme CWDIllegalInDllSearch einzeln abschalten und hoffen, dass die jeweilige Anwendung nicht verwundbar ist. Eine wirklich gute Lösung ist das allerdings nicht.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Qualcomm stellt Mobilplattform Snapdragon 8 Elite vor

Der neue mobile Chipsatz verspricht Zuwächse bei der Performance und der Grafikleistung. Der Snapdragon 8…

2 Wochen ago

Microsoft stellt autonome KI-Agenten für Dynamics 365 vor

Sie sollen Unternehmen in Bereichen wie Vertrieb, Kundenservice und Finanzwesen unterstützt. Außerdem lassen sich künftig…

2 Wochen ago

Smartphonemarkt: Absatzzahlen steigen 5 Prozent im dritten Quartal

Laut Canalys setzt in Nordamerika, China und Europa ein Erneuerungszyklus ein. Er beschert Apple das…

2 Wochen ago

Infostealer Formbook nimmt Nutzer in Deutschland ins Visier

Die Malware landet mit einem Anteil von 21 Prozent an allen Infektionen im September auf…

2 Wochen ago

Ausgenutzte Schwachstellen: Anteil der Zero-Day-Lücken steigt

Im vergangenen Jahr waren 70,3 Prozent aller Sicherheitslücken im Visier von Hackern ohne verfügbaren Patch.…

2 Wochen ago

Trotz wachsender Angriffszahlen: Deutsche unterschätzen Cyberrisiko

Das Risikoempfinden der Deutschen sinkt in drei Jahren um 12 Prozentpunkte. Außerdem ist die Wissenskompetenz…

2 Wochen ago