Zahlreiche Exploits im Internet aufgetaucht - Auch Microsofts Office betroffen
Berichten des Internet Storm Centers zufolge wird die DLL-Sicherheitslücke unter Windows bereits aktiv ausgenutzt. Unter den betroffenen Anwendungen finden sich etwa Microsofts Office, Thunderbird oder uTorrent.
Während man anfangs von rund 40 betroffenen Anwendungen ausging, ist die Zahl mittlerweile deutlich überschritten. Die DLL-Lücke wird in immer mehr Programmen entdeckt, auf der Seite Exploit Database werden ständig neue Exploits zum Download angeboten.
Funktionsweise
Um Systeme anzugreifen betreiben Hacker "DLL Hijacking", dabei wird eine Schwachstelle im Suchverhalten von Windows genutzt. Wurde von Anwendungsentwicklern der Pfad einer DLL nicht richtig festgelegt, sucht das Betriebssystem in anderen Ordnern nach dieser. An vorletzter Stelle der Suche befindet sich für gewöhnlich das Arbeitsverzeichnis. Dieses kann sich auch innerhalb einer Netzwerkfreigabe befinden. Nun kann es in Programmen dazu kommen, dass sie versuchen nicht installierte DLLs zu laden. Fragt eine Anwendung nach einer DLL, welche sich nicht auf allen Systemen befindet, sucht Windows auch im Arbeitsverzeichnis danach.
Wird also eine DLL-Datei mit entsprechendem Namen und präpariertem Inhalt ins System eingeschleust, führen die Anwendungen beim Aufrufen der DLL etwaigen Schadcode aus. Einen hundertprozentigen Schutz gibt es dagegen nicht. Für die Behandlung des Problems liefert Microsoft allerdings ein Sicherheits-Tool, Programmierer und Sicherheitsexperten publizieren mögliche Lösungsansätze in diversen Blogs. (pd)
