Zahlreiche Windows-10-Anwendungen anfällig für DLL-Hijacking

Fast 300 interne Windows-10-Anwendungen sind offenbar anfällig für DLL-Hijacking. Davor warnt Bleeping Computer aufgrund eines Berichts des Sicherheitsforschers Wietze Beukema, der für PwC Großbritannien arbeitet. Unter Umständen soll ein einfaches VB-Skript ausreichen, damit sich ein unbefugter Nutzer Administratorrechte sichern und somit die Benutzerkontensteuerung vollständig aushebeln kann.

Die ausführbaren Dateien fand der Forscher ausschließlich im System32-Ordner von Windows 10. Angreifer sollen in der Lage sein, diesen legitimen EXE-Dateien eine Programmbibliothek (DLL-Datei) ihrer Wahl unterzuschieben, die schädlich sein kann. In seinem Blog beschreibt der Forscher zudem verschiedene DLL-Hijacking-Techniken, die hier zum Einsatz kommen könnten.

Am Beispiel des Prozesses winstat.exe erläuterte der Beukema sein Vorgehen. Er kopierte die Datei in den Download-Ordner von Windows und führte sie von dort aus. Mit dem Monitoring-Tool Procmon überwachte er anschließend die DLL-Aufrufe der EXE-Datei. Anschließend ersetzte der alle aufgeführten DLL-Dateien durch speziell präparierte Versionen. Das erlaubte es ihm herauszufinden, welche DLL-Dateien nicht nur aufgerufen, sondern auch ausgeführt wurden und somit anfällig für DLL-Hijacking sind.

Allerdings muss ein Angreifer dem Forscher zufolge sicherstellen, dass seine speziell gestaltete DLL-Datei ohne Probleme geladen wird. Dabei seien Tools wie DLL Export Viewer hilfreich, die Einblicke in die Struktur einer Programmbibliothek liefern und alle externen Funktionen auflisten. Diese ließen sich dann für einen DLL-Hijacking-Exploit duplizieren.

Auf diese Art stufte Beukema insgesamt 287 ausführbare Dateien im System32-Ordner sowie 263 unterschiedliche DLL-Dateien als anfällig ein. Eine vollständige Liste veröffentlichte er auf GitHub.

Allerdings gibt es auch Einschränkungen. So sollen nur ausführbare Dateien geeignet sein, die keine Argumente benötigen. Meiden sollte man dem Forscher zufolge zudem Anwendungen mit fortschrittlichen grafischen Oberflächen oder Funktionen zur Fehlerberichterstattung. Auch in C++ geschriebene DLLs seien nicht geeignet.

Als besonders gefährlich stufte Beukema DLL-Dateien ein, die für Hijacking anfällig sind und zugleich Administratorrechte erhalten, ohne dass die Benutzerkontensteuerung ausgelöst wird. Insgesamt 35 ausführbare Dateien soll Microsoft mit diesem Privileg ausgestattet haben, um die Zahl der Rückfragen der Benutzerkontensteuerung zu reduzieren und die Akzeptanz bei den Anwendern zu erhöhen. Einschränkungen, die einen Missbrauch dieses Privilegs verhindern sollen, lassen sich laut dem Forscher ebenfalls umgehen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach NSO-Skandal: Israel verspricht strengere Export-Kontrollen für Cyber-Produkte

Auslöser ist ein weiterer Bericht über den Einsatz von NSO-Tools gegen US-Bürger. Israel untersagt nun…

9 Stunden ago

Erste zertifizierte Secured-Core Windows-Server verfügbar

Sie sind die Gegenstücke sie Secured-Core-PCs. Server mit Secured-Core-Zertifizierung nutzen ein Trusted Platform Module und…

9 Stunden ago

Jede Woche ein Betrugsversuch

Deutsche Verbraucher sind ständig im Visier von Cyberbetrügern. Die Gauner nutzen immer raffiniertere Methoden.

17 Stunden ago

G-Nachweis am Arbeitsplatz

Das Infektionsschutzgesetz verpflichtet Arbeitgeber dazu, die Covid-Zertifikate ihrer Mitarbeiter vor Betreten der Arbeitsstätte zu überprüfen…

17 Stunden ago

Kriminelle ködern mit Covid-Omikron

Cyberkriminelle nutzen neue Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden,…

18 Stunden ago

Microsoft drängt Kunden mit höheren Preisen zu langfristigen Abonnements

Betroffen sind kommerzielle Angebote wie Microsoft 365, Windows 365 und Dynamics 365. Der Preisunterschied zwischen…

1 Tag ago