"Binary Planting" - Unsichere Suchpfade führen ins Verderben
Beim "Binary Planting" oder "DLL Preloading" nutzt der Angreifer aus, dass eine Anwendung beim Laden einer Datei auch benötigte Bibliotheken im aktuellen Arbeitsverzeichnis sucht. Befindet sich das in der Reihenfolge vor dem Verzeichnis mit den richtigen Bibliotheken, werden vom Angreifer im Arbeitsverzeichnis gespeicherte präparierte Versionen zuerst gefunden und an Stelle der richtigen Versionen geladen.
Unsichere Suchpfade
Die aktuelle Schwachstelle beim Laden von Bibliotheken durch Windows-Programme wurde vom Sicherheitsunternehmen ACROS ans Licht gebracht, das eine entsprechende Schwachstelle in iTunes entdeckt hatte. Die wird im Advisory folgendermaßen beschrieben:
"As a result of an incorrect dynamic link library loading in Apple iTunes for Windows, an attacker can cause her malicious DLL to be loaded and executed from local drives, remote Windows shares, and even shares located on Internet.
All a remote attacker has to do is plant a malicious DLL with a specific name on a network share and get the user to open a media file from this network location in iTunes - which should require minimal social engineering. Since Windows systems by default have the Web Client service running - which makes remote network shares accessible via WebDAV -, the malicious DLL can also be deployed from an Internet-based network share as long as the intermediate firewalls allow outbound HTTP traffic to the Internet."
Metasploit-Entwickler HD Moore hat die Schwachstelle unabhängig von ACROS während der Untersuchung der Shortcut-Schwachstelle entdeckt und kommentierte das Advisory mit
"The cat is out of the bug, this issue affects about 40 different apps, including the Windows shell: http://bit.ly/bFrilm"
Seine Untersuchungsergebnisse hat er in zwei Einträgen in den Blogs von Rapid7 und dem Metasploit Projekt veröffentlicht, vom parallel veröffentlichten Tool zur Suche nach betroffenen Programmen gibt es inzwischen eine verbesserte Version.
Die Anzahl betroffener Programme wächst laufend, die von HD Moore angegebene Anzahl von 40 wurde inzwischen weit übertroffen. Übersichtsseiten im Blog der Exploit-DB und von Peter Van Eeckhoutte führen alle bekannte betroffenen Programme auf. Laut Internet Storm Center gab es bereits kurz nach der Veröffentlichung der Schwachstelle die ersten Angriffe über die Schwachstelle, namentlich auf uTorrent, Microsoft Office und Windows Mail.
Neue Schwachstelle "nur" neuer Angriffsvektor
Im Grunde handelt es sich um eine seit langem bekannte Art von Schwachstellen, wie z.B. Thierry Zoller festgestellt hat: Die ersten Berichte gab es bereits im Jahr 2000. Ursache der Schwachstelle ist die Art, wie die betroffenen Programme bestimmte Bibliotheken laden: Wird eine mit dem Programm verknüpfte Datei geladen, wird auch versucht, bestimmte Bibliotheken aus dem aktuellen Arbeitsverzeichnis zu laden. Neu ist, dass das auch passiert, wenn die verknüpfte Datei von einem entfernten Laufwerk geladen wird. Beim Laden z.B. einer harmlosen MP3-Datei durch einen betroffenen Mediaplayer wird dann auch eine im gleichen Verzeichnis gespeicherte präparierte Codec-Bibliothek geladen, über die dann Schadcode eingeschleust wird.
Microsoft hat ein Security Advisory zur Schwachstelle veröffentlicht und weist ebenfalls darauf hin, dass es sich um einen neuen Angriffsvektor für die seit langen bekannte Klasse der "DLL Preloading Attacks" handelt und nicht um eine neue Schwachstelle. Weitere Informationen liefern zwei Artikel im Security Research & Defense Blog.
Ein von Microsoft bereit gestelltes Tool erlaubt es, das Laden von Bibliotheken von WebDAV- und Netzwerklaufwerken zu unterbinden. Das kann aber bei zu strenger Einstellung bei Programmen zu Problemen führen, die regulär Bibliotheken aus dem Arbeitsverzeichnis laden wollen. Microsoft hat darauf mit einem "Fix-it" reagiert, dass den notwendigen Registry-Key mit einem relativ milden Wert einträgt. Ggf. kann für problematische Programme auch eine Ausnahme in der Registry eingetragen werden.
Binary Planting auch mit EXE-Dateien möglich
Kurz nach der Beschreibung des Binary Plantings für Bibliotheken
legte ACROS nach: Auch beim Laden von EXE-Dateien wird ein unsicherer
Suchpfad
verwendet.
Diesmal wurde die Schwachstelle zuerst in Apples Browser Safari
gefunden.
Ein Angriff könnte damit so aussehen: Der Angreifer speichert auf
einem Netzlaufwerk eine HTML-Datei und eine bösartige Programmdatei
mit dem Namen explorer.exe
. Öffnet ein Benutzer die
HTML-Datei mit Safari, wird darin eine file://
-URI aufgerufen.
Windows versucht dann, den Windows Explorer (explorer.exe
) zu
starten und verwendet dabei die Programmdatei aus dem aktuellen
Arbeitsverzeichnis. Apple hat die Schwachstelle in Safari
behoben,
das grundlegende Problem des unsicheren Suchpfads besteht weiterhin. Auch
Microsofts Tool zur Korrektur des unsicheren Suchpfads für das Laden
von Bibliotheken hilft in diesem Fall nicht. Die einzig Möglichkeit,
Angriffe aus der Ferne zu verhindern, ist zur Zeit das Abschalten des
WebDAV-Clients.
Die Suchpfade der verschiedenen Funktionen zum Starten von Programmen
weichen voneinander ab und sind auch nur teilweise dokumentiert, alle
enthalten aber das aktuelle Arbeitsverzeichnis an erster oder zweiter
Stelle. Auch warnt z.B. die Funktion ShellExecute()
beim
Starten eines Programms aus der Internet-Zone - aber wie viele Benutzer
beachten schon solche Warnungen, vor allem, wenn sie dadurch von ihrem Ziel
abgehalten werden?
Die möglichen Folgen eines Angriffs und mögliche Gegenmaßnahmen werden in der nächsten Folge beschrieben.
Übersicht über alle Artikel zum Thema
- Standpunkt: Der Suchpfad ins Unglück
- "Binary Planting" - Unsichere Suchpfade führen ins Verderben
- Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?
- Binary Planting frei Haus und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : Stuxnet - Ein Überblick über die Entwicklung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zur Sicherheit von Clients
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Links mit etwas Senf
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass
Vorschau anzeigen