Remote Binary Planting: Die unpatchbare Lücke in Windows

Für Windows ist letzte Woche eine Sicherheitslücke öffentlich gemacht worden. Da dies nahezu täglich passiert, ist das eigentlich nichts Besonderes. Normalerweise hofft man darauf, dass Microsoft einen Patch herausbringt, bevor die ersten Exploits auftauchen. Doch "Remote Binary Planting", wie Microsoft das Problem selbst getauft hat, kann nicht gepatcht werden, ohne großflächige Kollateralschäden anzurichten.

Ein Patch würde nämlich dazu führen, dass zahlreiche Applikationen gar nicht oder nicht korrekt funktionieren. Die Sicherheitslücke ist seit langem bekannt. Microsoft hat bereits seit Windows XP SP2 eine Art Kompromiss-Fix für Remote Binary Planting ins Betriebssystem integriert, der nahezu keine Schäden anrichtet, jedoch das Problem in den meisten Fällen nicht beseitigt.

Eine Veröffentlichung von ACROS löste einen regelrechten Hype aus, der dazu führte, dass innerhalb einer Woche Exploits für zahlreiche weit verbreitete Programme auftauchten. Mittlerweile wird Lücke aktiv von Kriminellen ausgenutzt.

Ein Angriff mit Remote Binary Planting ist relativ einfach: Der Angreifer kopiert eine DLL-Datei in ein Verzeichnis auf einem Netzwerklaufwerk, für das er Schreibrechte besitzt, etwa \ServerShareDokumentePräsentationen. Ein anderer Benutzer, der eine Präsentation aus diesem Verzeichnis öffnet, lädt damit automatisch die DLL-Datei nach und der Code in der DLL wird ausgeführt.

Eine weitere Besonderheit ist, dass für Remote Binary Planting kein Pufferüberlauf oder eine Null-Pointer-Dereferenzierung ausgenutzt werden muss. Eine einfache DLL-Datei in das richtige Verzeichnis platziert, reicht aus, um die Lücke auszunutzen. Das ermöglicht auch "Amateurhackern", wirksame Exploits zu entwickeln.

Das Problem tritt nur auf, wenn eine Applikation eine DLL nachlädt, etwa mit LoadLibrary, und dabei keinen vollständigen Pfadnamen angibt. Da Windows standardmäßig erst das aktuelle Verzeichnis und dann die Umgebungsvariable PATH durchsucht, kann der Angreifer bei schlecht programmierten Applikationen erzwingen, dass seine DLL anstelle der korrekten geladen wird.

Mittlerweile sind über 50 "schlecht gemachte" Anwendungen bekannt. Dazu zählen die aktuellen Versionen von Firefox, µTorrent, Opera, Winamp, VLC und Wireshark. Microsoft weist zu Recht darauf hin, dass man die Entwickler seit vielen Jahren auf die Problematik aufmerksam macht. Doch die Warnungen verhallen bereits im eigenen Haus, denn auch Powerpoint 2007 ist betroffen. Vermutlich gibt es tausende weitere Applikationen, die durch Remote Binary Planting kompromittiert werden können.

Eine recht gute Liste mit den zugehörigen Exploits in C gibt es bei exploit-db.com. Die Versionsnummern der aufgezählten Programme sind mit Vorsicht zu genießen. Sie geben nur an, dass eine bestimmte Version garantiert verwundbar ist. Das bedeutet nicht, dass andere Versionen nicht betroffen sind.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago