Fast 300 interne Windows-10-Anwendungen sind offenbar anfällig für DLL-Hijacking. Davor warnt Bleeping Computer aufgrund eines Berichts des Sicherheitsforschers Wietze Beukema, der für PwC Großbritannien arbeitet. Unter Umständen soll ein einfaches VB-Skript ausreichen, damit sich ein unbefugter Nutzer Administratorrechte sichern und somit die Benutzerkontensteuerung vollständig aushebeln kann.
Am Beispiel des Prozesses winstat.exe erläuterte der Beukema sein Vorgehen. Er kopierte die Datei in den Download-Ordner von Windows und führte sie von dort aus. Mit dem Monitoring-Tool Procmon überwachte er anschließend die DLL-Aufrufe der EXE-Datei. Anschließend ersetzte der alle aufgeführten DLL-Dateien durch speziell präparierte Versionen. Das erlaubte es ihm herauszufinden, welche DLL-Dateien nicht nur aufgerufen, sondern auch ausgeführt wurden und somit anfällig für DLL-Hijacking sind.
Allerdings muss ein Angreifer dem Forscher zufolge sicherstellen, dass seine speziell gestaltete DLL-Datei ohne Probleme geladen wird. Dabei seien Tools wie DLL Export Viewer hilfreich, die Einblicke in die Struktur einer Programmbibliothek liefern und alle externen Funktionen auflisten. Diese ließen sich dann für einen DLL-Hijacking-Exploit duplizieren.
Auf diese Art stufte Beukema insgesamt 287 ausführbare Dateien im System32-Ordner sowie 263 unterschiedliche DLL-Dateien als anfällig ein. Eine vollständige Liste veröffentlichte er auf GitHub.
Allerdings gibt es auch Einschränkungen. So sollen nur ausführbare Dateien geeignet sein, die keine Argumente benötigen. Meiden sollte man dem Forscher zufolge zudem Anwendungen mit fortschrittlichen grafischen Oberflächen oder Funktionen zur Fehlerberichterstattung. Auch in C++ geschriebene DLLs seien nicht geeignet.
Als besonders gefährlich stufte Beukema DLL-Dateien ein, die für Hijacking anfällig sind und zugleich Administratorrechte erhalten, ohne dass die Benutzerkontensteuerung ausgelöst wird. Insgesamt 35 ausführbare Dateien soll Microsoft mit diesem Privileg ausgestattet haben, um die Zahl der Rückfragen der Benutzerkontensteuerung zu reduzieren und die Akzeptanz bei den Anwendern zu erhöhen. Einschränkungen, die einen Missbrauch dieses Privilegs verhindern sollen, lassen sich laut dem Forscher ebenfalls umgehen.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.