Zahlreiche Windows-10-Anwendungen anfällig für DLL-Hijacking

Fast 300 interne Windows-10-Anwendungen sind offenbar anfällig für DLL-Hijacking. Davor warnt Bleeping Computer aufgrund eines Berichts des Sicherheitsforschers Wietze Beukema, der für PwC Großbritannien arbeitet. Unter Umständen soll ein einfaches VB-Skript ausreichen, damit sich ein unbefugter Nutzer Administratorrechte sichern und somit die Benutzerkontensteuerung vollständig aushebeln kann.

Die ausführbaren Dateien fand der Forscher ausschließlich im System32-Ordner von Windows 10. Angreifer sollen in der Lage sein, diesen legitimen EXE-Dateien eine Programmbibliothek (DLL-Datei) ihrer Wahl unterzuschieben, die schädlich sein kann. In seinem Blog beschreibt der Forscher zudem verschiedene DLL-Hijacking-Techniken, die hier zum Einsatz kommen könnten.

Am Beispiel des Prozesses winstat.exe erläuterte der Beukema sein Vorgehen. Er kopierte die Datei in den Download-Ordner von Windows und führte sie von dort aus. Mit dem Monitoring-Tool Procmon überwachte er anschließend die DLL-Aufrufe der EXE-Datei. Anschließend ersetzte der alle aufgeführten DLL-Dateien durch speziell präparierte Versionen. Das erlaubte es ihm herauszufinden, welche DLL-Dateien nicht nur aufgerufen, sondern auch ausgeführt wurden und somit anfällig für DLL-Hijacking sind.

Allerdings muss ein Angreifer dem Forscher zufolge sicherstellen, dass seine speziell gestaltete DLL-Datei ohne Probleme geladen wird. Dabei seien Tools wie DLL Export Viewer hilfreich, die Einblicke in die Struktur einer Programmbibliothek liefern und alle externen Funktionen auflisten. Diese ließen sich dann für einen DLL-Hijacking-Exploit duplizieren.

Auf diese Art stufte Beukema insgesamt 287 ausführbare Dateien im System32-Ordner sowie 263 unterschiedliche DLL-Dateien als anfällig ein. Eine vollständige Liste veröffentlichte er auf GitHub.

Allerdings gibt es auch Einschränkungen. So sollen nur ausführbare Dateien geeignet sein, die keine Argumente benötigen. Meiden sollte man dem Forscher zufolge zudem Anwendungen mit fortschrittlichen grafischen Oberflächen oder Funktionen zur Fehlerberichterstattung. Auch in C++ geschriebene DLLs seien nicht geeignet.

Als besonders gefährlich stufte Beukema DLL-Dateien ein, die für Hijacking anfällig sind und zugleich Administratorrechte erhalten, ohne dass die Benutzerkontensteuerung ausgelöst wird. Insgesamt 35 ausführbare Dateien soll Microsoft mit diesem Privileg ausgestattet haben, um die Zahl der Rückfragen der Benutzerkontensteuerung zu reduzieren und die Akzeptanz bei den Anwendern zu erhöhen. Einschränkungen, die einen Missbrauch dieses Privilegs verhindern sollen, lassen sich laut dem Forscher ebenfalls umgehen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

35 Minuten ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

15 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

15 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

1 Tag ago