Zahlreiche Windows-10-Anwendungen anfällig für DLL-Hijacking

Ein Forscher findet allein im System32-Ordner fast 300 ausführbare Dateien, denen eine speziell gestaltete DLL-Datei untergeschoben werden kann. Eine Liste der Dateien veröffentlicht er auf GitHub. Für seinen Angriff gibt es allerdings auch Einschränkungen.

Fast 300 interne Windows-10-Anwendungen sind offenbar anfällig für DLL-Hijacking. Davor warnt Bleeping Computer aufgrund eines Berichts des Sicherheitsforschers Wietze Beukema, der für PwC Großbritannien arbeitet. Unter Umständen soll ein einfaches VB-Skript ausreichen, damit sich ein unbefugter Nutzer Administratorrechte sichern und somit die Benutzerkontensteuerung vollständig aushebeln kann.

Windows 10 1809 Oktober-2018-Update (Bild: Microsoft)Die ausführbaren Dateien fand der Forscher ausschließlich im System32-Ordner von Windows 10. Angreifer sollen in der Lage sein, diesen legitimen EXE-Dateien eine Programmbibliothek (DLL-Datei) ihrer Wahl unterzuschieben, die schädlich sein kann. In seinem Blog beschreibt der Forscher zudem verschiedene DLL-Hijacking-Techniken, die hier zum Einsatz kommen könnten.

Am Beispiel des Prozesses winstat.exe erläuterte der Beukema sein Vorgehen. Er kopierte die Datei in den Download-Ordner von Windows und führte sie von dort aus. Mit dem Monitoring-Tool Procmon überwachte er anschließend die DLL-Aufrufe der EXE-Datei. Anschließend ersetzte der alle aufgeführten DLL-Dateien durch speziell präparierte Versionen. Das erlaubte es ihm herauszufinden, welche DLL-Dateien nicht nur aufgerufen, sondern auch ausgeführt wurden und somit anfällig für DLL-Hijacking sind.

Allerdings muss ein Angreifer dem Forscher zufolge sicherstellen, dass seine speziell gestaltete DLL-Datei ohne Probleme geladen wird. Dabei seien Tools wie DLL Export Viewer hilfreich, die Einblicke in die Struktur einer Programmbibliothek liefern und alle externen Funktionen auflisten. Diese ließen sich dann für einen DLL-Hijacking-Exploit duplizieren.

Auf diese Art stufte Beukema insgesamt 287 ausführbare Dateien im System32-Ordner sowie 263 unterschiedliche DLL-Dateien als anfällig ein. Eine vollständige Liste veröffentlichte er auf GitHub.

Allerdings gibt es auch Einschränkungen. So sollen nur ausführbare Dateien geeignet sein, die keine Argumente benötigen. Meiden sollte man dem Forscher zufolge zudem Anwendungen mit fortschrittlichen grafischen Oberflächen oder Funktionen zur Fehlerberichterstattung. Auch in C++ geschriebene DLLs seien nicht geeignet.

Als besonders gefährlich stufte Beukema DLL-Dateien ein, die für Hijacking anfällig sind und zugleich Administratorrechte erhalten, ohne dass die Benutzerkontensteuerung ausgelöst wird. Insgesamt 35 ausführbare Dateien soll Microsoft mit diesem Privileg ausgestattet haben, um die Zahl der Rückfragen der Benutzerkontensteuerung zu reduzieren und die Akzeptanz bei den Anwendern zu erhöhen. Einschränkungen, die einen Missbrauch dieses Privilegs verhindern sollen, lassen sich laut dem Forscher ebenfalls umgehen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Betriebssystem, Microsoft, Security, Sicherheit, Windows 10

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zahlreiche Windows-10-Anwendungen anfällig für DLL-Hijacking

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *