Remote Binary Planting: Die unpatchbare Lücke in Windows

Für Windows ist letzte Woche eine Sicherheitslücke öffentlich gemacht worden. Da dies nahezu täglich passiert, ist das eigentlich nichts Besonderes. Normalerweise hofft man darauf, dass Microsoft einen Patch herausbringt, bevor die ersten Exploits auftauchen. Doch "Remote Binary Planting", wie Microsoft das Problem selbst getauft hat, kann nicht gepatcht werden, ohne großflächige Kollateralschäden anzurichten.

Ein Patch würde nämlich dazu führen, dass zahlreiche Applikationen gar nicht oder nicht korrekt funktionieren. Die Sicherheitslücke ist seit langem bekannt. Microsoft hat bereits seit Windows XP SP2 eine Art Kompromiss-Fix für Remote Binary Planting ins Betriebssystem integriert, der nahezu keine Schäden anrichtet, jedoch das Problem in den meisten Fällen nicht beseitigt.

Eine Veröffentlichung von ACROS löste einen regelrechten Hype aus, der dazu führte, dass innerhalb einer Woche Exploits für zahlreiche weit verbreitete Programme auftauchten. Mittlerweile wird Lücke aktiv von Kriminellen ausgenutzt.

Ein Angriff mit Remote Binary Planting ist relativ einfach: Der Angreifer kopiert eine DLL-Datei in ein Verzeichnis auf einem Netzwerklaufwerk, für das er Schreibrechte besitzt, etwa \ServerShareDokumentePräsentationen. Ein anderer Benutzer, der eine Präsentation aus diesem Verzeichnis öffnet, lädt damit automatisch die DLL-Datei nach und der Code in der DLL wird ausgeführt.

Eine weitere Besonderheit ist, dass für Remote Binary Planting kein Pufferüberlauf oder eine Null-Pointer-Dereferenzierung ausgenutzt werden muss. Eine einfache DLL-Datei in das richtige Verzeichnis platziert, reicht aus, um die Lücke auszunutzen. Das ermöglicht auch "Amateurhackern", wirksame Exploits zu entwickeln.

Das Problem tritt nur auf, wenn eine Applikation eine DLL nachlädt, etwa mit LoadLibrary, und dabei keinen vollständigen Pfadnamen angibt. Da Windows standardmäßig erst das aktuelle Verzeichnis und dann die Umgebungsvariable PATH durchsucht, kann der Angreifer bei schlecht programmierten Applikationen erzwingen, dass seine DLL anstelle der korrekten geladen wird.

Mittlerweile sind über 50 "schlecht gemachte" Anwendungen bekannt. Dazu zählen die aktuellen Versionen von Firefox, µTorrent, Opera, Winamp, VLC und Wireshark. Microsoft weist zu Recht darauf hin, dass man die Entwickler seit vielen Jahren auf die Problematik aufmerksam macht. Doch die Warnungen verhallen bereits im eigenen Haus, denn auch Powerpoint 2007 ist betroffen. Vermutlich gibt es tausende weitere Applikationen, die durch Remote Binary Planting kompromittiert werden können.

Eine recht gute Liste mit den zugehörigen Exploits in C gibt es bei exploit-db.com. Die Versionsnummern der aufgezählten Programme sind mit Vorsicht zu genießen. Sie geben nur an, dass eine bestimmte Version garantiert verwundbar ist. Das bedeutet nicht, dass andere Versionen nicht betroffen sind.