Remote Binary Planting: Die unpatchbare Lücke in Windows

Remote Binary Planting ist ein altbekanntes Problem, das Georgy Guninsky bereits im Jahr 2000 beschrieben hat. Nachdem ACROS das Verhalten am 18. August bei iTunes entdeckt hatte, ist ein Hype ausgebrochen, der dazu geführt hat, dass mittlerweile für über 50 Programme Exploits existieren, die man sich im Sourcecode herunterladen kann.

Laut Internet Storm Center nutzen Kriminelle die Schwachstellen bereits aus. Das ist kein Wunder, denn es gibt kaum Hürden zu überwinden. Bei einer bekannten Schwachstelle durch einen Pufferüberlauf, kann es Monate dauern, bis ein Exploit existiert, der mehr als einen Absturz oder einen Blue-Screen produziert. Meist ist die Schwachstelle dann längst behoben.

Problematisch ist, dass die Schwachstelle nicht von Microsoft in einer Weise gepatcht werden kann, die den Nutzer zufriedenstellt. Ein sicherer Patch würde Kollateralschäden anrichten. Zahlreiche nicht betroffene Applikationen würden nicht mehr einwandfrei funktionieren.

Eigentlich handelt es sich nicht um ein Microsoft-Problem: Das Laden einer DLL ohne vollständigen Pfadnamen durch den Entwickler einer Anwendung ist zwar praktisch, aber eine gefährliche Unachtsamkeit. Sie führt dazu, dass die Applikation keine Kontrolle darüber hat, welche DLL wirklich genutzt wird.

Microsoft hat das DLL-Suchverhalten 1993 in Windows NT 3.1 implementiert und mit nur wenigen Veränderungen in die aktuellen Windows-Versionen übernommen. Würde Microsoft heute ein Betriebssystem neu entwickeln, gäbe es dieses Verhalten nicht. Bei Windows wurde es von Version zu Version aus Kompatibilitätsgründen beibehalten.

Eine wirklich gute Lösung gibt es derzeit nicht. Alle Workarounds bewirken, dass für Nutzer bestimmte Funktionen nicht mehr möglich sind oder dass bestimmte Anwendungen nicht mehr funktionieren.