Fast 300 interne Windows-10-Anwendungen sind offenbar anfällig für DLL-Hijacking. Davor warnt Bleeping Computer aufgrund eines Berichts des Sicherheitsforschers Wietze Beukema, der für PwC Großbritannien arbeitet. Unter Umständen soll ein einfaches VB-Skript ausreichen, damit sich ein unbefugter Nutzer Administratorrechte sichern und somit die Benutzerkontensteuerung vollständig aushebeln kann.
Am Beispiel des Prozesses winstat.exe erläuterte der Beukema sein Vorgehen. Er kopierte die Datei in den Download-Ordner von Windows und führte sie von dort aus. Mit dem Monitoring-Tool Procmon überwachte er anschließend die DLL-Aufrufe der EXE-Datei. Anschließend ersetzte der alle aufgeführten DLL-Dateien durch speziell präparierte Versionen. Das erlaubte es ihm herauszufinden, welche DLL-Dateien nicht nur aufgerufen, sondern auch ausgeführt wurden und somit anfällig für DLL-Hijacking sind.
Allerdings muss ein Angreifer dem Forscher zufolge sicherstellen, dass seine speziell gestaltete DLL-Datei ohne Probleme geladen wird. Dabei seien Tools wie DLL Export Viewer hilfreich, die Einblicke in die Struktur einer Programmbibliothek liefern und alle externen Funktionen auflisten. Diese ließen sich dann für einen DLL-Hijacking-Exploit duplizieren.
Auf diese Art stufte Beukema insgesamt 287 ausführbare Dateien im System32-Ordner sowie 263 unterschiedliche DLL-Dateien als anfällig ein. Eine vollständige Liste veröffentlichte er auf GitHub.
Allerdings gibt es auch Einschränkungen. So sollen nur ausführbare Dateien geeignet sein, die keine Argumente benötigen. Meiden sollte man dem Forscher zufolge zudem Anwendungen mit fortschrittlichen grafischen Oberflächen oder Funktionen zur Fehlerberichterstattung. Auch in C++ geschriebene DLLs seien nicht geeignet.
Als besonders gefährlich stufte Beukema DLL-Dateien ein, die für Hijacking anfällig sind und zugleich Administratorrechte erhalten, ohne dass die Benutzerkontensteuerung ausgelöst wird. Insgesamt 35 ausführbare Dateien soll Microsoft mit diesem Privileg ausgestattet haben, um die Zahl der Rückfragen der Benutzerkontensteuerung zu reduzieren und die Akzeptanz bei den Anwendern zu erhöhen. Einschränkungen, die einen Missbrauch dieses Privilegs verhindern sollen, lassen sich laut dem Forscher ebenfalls umgehen.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…