Skip to content

"Binary Planting" - Unsichere Suchpfade führen ins Verderben

Beim "Binary Planting" oder "DLL Preloading" nutzt der Angreifer aus, dass eine Anwendung beim Laden einer Datei auch benötigte Bibliotheken im aktuellen Arbeitsverzeichnis sucht. Befindet sich das in der Reihenfolge vor dem Verzeichnis mit den richtigen Bibliotheken, werden vom Angreifer im Arbeitsverzeichnis gespeicherte präparierte Versionen zuerst gefunden und an Stelle der richtigen Versionen geladen.

Unsichere Suchpfade

Die aktuelle Schwachstelle beim Laden von Bibliotheken durch Windows-Programme wurde vom Sicherheitsunternehmen ACROS ans Licht gebracht, das eine entsprechende Schwachstelle in iTunes entdeckt hatte. Die wird im Advisory folgendermaßen beschrieben:

"As a result of an incorrect dynamic link library loading in Apple iTunes for Windows, an attacker can cause her malicious DLL to be loaded and executed from local drives, remote Windows shares, and even shares located on Internet.

All a remote attacker has to do is plant a malicious DLL with a specific name on a network share and get the user to open a media file from this network location in iTunes - which should require minimal social engineering. Since Windows systems by default have the Web Client service running - which makes remote network shares accessible via WebDAV -, the malicious DLL can also be deployed from an Internet-based network share as long as the intermediate firewalls allow outbound HTTP traffic to the Internet."

Metasploit-Entwickler HD Moore hat die Schwachstelle unabhängig von ACROS während der Untersuchung der Shortcut-Schwachstelle entdeckt und kommentierte das Advisory mit

"The cat is out of the bug, this issue affects about 40 different apps, including the Windows shell: http://bit.ly/bFrilm"

Seine Untersuchungsergebnisse hat er in zwei Einträgen in den Blogs von Rapid7 und dem Metasploit Projekt veröffentlicht, vom parallel veröffentlichten Tool zur Suche nach betroffenen Programmen gibt es inzwischen eine verbesserte Version.

Die Anzahl betroffener Programme wächst laufend, die von HD Moore angegebene Anzahl von 40 wurde inzwischen weit übertroffen. Übersichtsseiten im Blog der Exploit-DB und von Peter Van Eeckhoutte führen alle bekannte betroffenen Programme auf. Laut Internet Storm Center gab es bereits kurz nach der Veröffentlichung der Schwachstelle die ersten Angriffe über die Schwachstelle, namentlich auf uTorrent, Microsoft Office und Windows Mail.

Neue Schwachstelle "nur" neuer Angriffsvektor

Im Grunde handelt es sich um eine seit langem bekannte Art von Schwachstellen, wie z.B. Thierry Zoller festgestellt hat: Die ersten Berichte gab es bereits im Jahr 2000. Ursache der Schwachstelle ist die Art, wie die betroffenen Programme bestimmte Bibliotheken laden: Wird eine mit dem Programm verknüpfte Datei geladen, wird auch versucht, bestimmte Bibliotheken aus dem aktuellen Arbeitsverzeichnis zu laden. Neu ist, dass das auch passiert, wenn die verknüpfte Datei von einem entfernten Laufwerk geladen wird. Beim Laden z.B. einer harmlosen MP3-Datei durch einen betroffenen Mediaplayer wird dann auch eine im gleichen Verzeichnis gespeicherte präparierte Codec-Bibliothek geladen, über die dann Schadcode eingeschleust wird.

Microsoft hat ein Security Advisory zur Schwachstelle veröffentlicht und weist ebenfalls darauf hin, dass es sich um einen neuen Angriffsvektor für die seit langen bekannte Klasse der "DLL Preloading Attacks" handelt und nicht um eine neue Schwachstelle. Weitere Informationen liefern zwei Artikel im Security Research & Defense Blog.

Ein von Microsoft bereit gestelltes Tool erlaubt es, das Laden von Bibliotheken von WebDAV- und Netzwerklaufwerken zu unterbinden. Das kann aber bei zu strenger Einstellung bei Programmen zu Problemen führen, die regulär Bibliotheken aus dem Arbeitsverzeichnis laden wollen. Microsoft hat darauf mit einem "Fix-it" reagiert, dass den notwendigen Registry-Key mit einem relativ milden Wert einträgt. Ggf. kann für problematische Programme auch eine Ausnahme in der Registry eingetragen werden.

Binary Planting auch mit EXE-Dateien möglich

Kurz nach der Beschreibung des Binary Plantings für Bibliotheken legte ACROS nach: Auch beim Laden von EXE-Dateien wird ein unsicherer Suchpfad verwendet. Diesmal wurde die Schwachstelle zuerst in Apples Browser Safari gefunden. Ein Angriff könnte damit so aussehen: Der Angreifer speichert auf einem Netzlaufwerk eine HTML-Datei und eine bösartige Programmdatei mit dem Namen explorer.exe. Öffnet ein Benutzer die HTML-Datei mit Safari, wird darin eine file://-URI aufgerufen. Windows versucht dann, den Windows Explorer (explorer.exe) zu starten und verwendet dabei die Programmdatei aus dem aktuellen Arbeitsverzeichnis. Apple hat die Schwachstelle in Safari behoben, das grundlegende Problem des unsicheren Suchpfads besteht weiterhin. Auch Microsofts Tool zur Korrektur des unsicheren Suchpfads für das Laden von Bibliotheken hilft in diesem Fall nicht. Die einzig Möglichkeit, Angriffe aus der Ferne zu verhindern, ist zur Zeit das Abschalten des WebDAV-Clients.

Die Suchpfade der verschiedenen Funktionen zum Starten von Programmen weichen voneinander ab und sind auch nur teilweise dokumentiert, alle enthalten aber das aktuelle Arbeitsverzeichnis an erster oder zweiter Stelle. Auch warnt z.B. die Funktion ShellExecute() beim Starten eines Programms aus der Internet-Zone - aber wie viele Benutzer beachten schon solche Warnungen, vor allem, wenn sie dadurch von ihrem Ziel abgehalten werden?

Die möglichen Folgen eines Angriffs und mögliche Gegenmaßnahmen werden in der nächsten Folge beschrieben.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Standpunkt: Der Suchpfad ins Unglück
"Binary Planting" - Unsichere Suchpfade führen ins Verderben
Binary Planting - Welche Angriffe sind möglich und wie verhindert man sie?
Binary Planting frei Haus und mehr

Trackbacks

Dipl.-Inform. Carsten Eilers am : Stuxnet - Ein Überblick über die Entwicklung

Vorschau anzeigen
Stuxnet lieferte mir zuletzt vor 3 Wochen das Thema, als es um die Frage "Stuxnet - Der erste Schritt zum Cyberwar?" ging. Seitdem hat sich einiges getan, und wenn auch noch immer nicht geklärt ist, wer mit Stuxnet wen angegriffen hat, gibt

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : Neues zur Sicherheit von Clients

Vorschau anzeigen
Auch in dieser Folge gibt es einen Überblick über die 2011 auf Sicherheitskonferenzen vorgestellten neuen Angriffe und mögliche Schutzmaßnahmen. Das Ziel diesmal: Client-Rechner. Konkret geht es um Macs in Zeiten der Advanced Pe

Dipl.-Inform. Carsten Eilers am : Links mit etwas Senf

Vorschau anzeigen
Mein Standpunkt heute: Ich nähere mich meinen Schmelzpunkt, und darum fällt der übliche Standpunkt heute aus. Stattdessen gibt es eine kommentierte Linkliste. Brian Krebs: ‘Booter Shells’ Turn Web Sites into Weapons

Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass

Vorschau anzeigen
Heute gibt es mal wieder nur ein paar kommentierte Lesetipps: Zu Schadsofware, zu SSL und zu Googles Glass, Datenschutz und Privatsphäre Googles Glass wirft viele Fragen auf, zum Beispiel wie es mit dem Datenschutz der damit Beobach