1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Binary Planting: Fehlende DLLs…

Wie solls besser gemacht werden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie solls besser gemacht werden?

    Autor: Ralph_H 26.08.10 - 13:09

    Hi,

    ich sage es gleich vorneweg: Ich bin kein Programmierer.

    Insofern verstehe ich nicht, wie man diese 'Lücke' abschaffen kann, wenn schon alleine das Suchen nach einer DLL dem Schädling es ermöglicht sich einzunisten?

    Es wird ja wohl niemand erwarten können, dass jedes Programm alle DLL's selber mitbringt, die es benötigt und dann in das eigene Programmverzeichnis schreibt. Auch wenn die HDD's inzwischen TByte - Größe erreicht haben.

    Womit ja im Grunde auch nichts gewonnen würde. Denn das Programm 'sucht' ja dann in diesem Verzeichnis nach den DLL's....und alleine das Suchen nach DLL's soll ja schon der schlecht sein!?!?!?!?

    Gruß
    Ralph_H

  2. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 26.08.10 - 13:11

    1. Wenn man es schafft eine DLL in ein LOKALES Arbeitsverzeichnis zu platzieren, hat man bereits eine Sicherheitslücke ausgenutzt. Wieso dann noch Binary Planting nutzen?

    2. Fehlende DLLs müssen auch erst platziert werden, also verweise ich auf den 2. Teil von Punkt 1.

    Grüße vom Planeten Deviluke!

  3. Re: Wie solls besser gemacht werden?

    Autor: Tantalus 26.08.10 - 13:25

    Ralph_H schrieb:
    --------------------------------------------------------------------------------
    > Insofern verstehe ich nicht, wie man diese 'Lücke' abschaffen kann, wenn
    > schon alleine das Suchen nach einer DLL dem Schädling es ermöglicht sich
    > einzunisten?

    Es geht ja darum, *wo* eine DLL gesucht wird. Eine IMHO recht einfach Lösung wäre, dass eine DLL nur in fest definierten Pfaden (nämlich dem Betriebssystemverzeichnis, dem Installationsverzeichnis des Programms sowie einem Verzeichnis für gemeinsam verwendete DLLs) gesucht werden darf, *es sei denn*, dass das Programm selbst gezielt noch einen anderen Pfad vorsieht.

    > Es wird ja wohl niemand erwarten können, dass jedes Programm alle DLL's
    > selber mitbringt, die es benötigt und dann in das eigene
    > Programmverzeichnis schreibt. Auch wenn die HDD's inzwischen TByte - Größe
    > erreicht haben.

    Erwartet ja auch niemand.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  4. Re: Wie solls besser gemacht werden?

    Autor: HerrKuh 26.08.10 - 13:32

    Unix hat dieses uralte Problem dadurch gelöst, indem das Arbeitsverzeichnis erst gar nicht in den Suchpfad mit aufgenommen wird. Unter Windows mit seinen Altlasten lässt sich das anscheinend nur durch vorsichtigere Programmierung lösen, also umgehen aber nicht beheben, denn die Wurzel des Übels steckt immer noch in Windows selbst.

    Deviluke:
    Es braucht kein lokales Arbeitsverzeichnis, remote auf nem WebDAV oder SMB-Share reicht schon vollkommen aus.

    Schau dir mal das hier an, ne Powerpoint-Präsentation via WebDAV:
    http://www.offensive-security.com/offsec/microsoftdll-hijacking-exploit-in-action

  5. Re: Wie solls besser gemacht werden?

    Autor: idee12345 26.08.10 - 13:34

    Die Krux ist doch offensichtlich, dass _AUCH_ im Arbeitsverzeichnis (=CurrentDirectory) nach Biobliotheken gesucht wird. Dieses Arbeitsverzeichnis ist übrigend standardmäßig der Profilordner des Benutzers. Was da eine .dll zu suchen hat ist mir nicht so ganz klar.

  6. Re: Wie solls besser gemacht werden?

    Autor: HerrKuh 26.08.10 - 13:36

    Hier nochmal der Link, da hat noch ein Bindestrich gefehlt:

    http://www.offensive-security.com/offsec/microsoft-dll-hijacking-exploit-in-action/

  7. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 26.08.10 - 13:52

    Da wären wir wieder am Anfang. Der Anwender muss verleitet werden ein WebShare zu öffnen. Warum sieht man die DLL nicht? Wurde sie mit einem HIDDEN-Flag versehen?

    Das heißt ich brauche nur darauf achten, dass ich vertrauenswürdige Shares öffne und welche, die ich nicht kenne oder nicht vertraue nicht oder unter Linux.

    Grüße vom Planeten Deviluke!

  8. Re: Wie solls besser gemacht werden?

    Autor: /mecki78 26.08.10 - 14:00

    idee12345 schrieb:
    --------------------------------------------------------------------------------
    > Die Krux ist doch offensichtlich, dass _AUCH_ im Arbeitsverzeichnis
    > (=CurrentDirectory) nach Biobliotheken gesucht wird.

    Was ein Designfehler von Windows ist, außer mir kann jemand eine wirklich sinnvolles Anwendungsszenario nennen, wo so was Sinn machen würde. Ich sehe keines. Andere Betriebssysteme haben doch auch nicht derartige Probleme. In den meisten anderen Betriebssystemen läuft das ganze so ab:

    1. Es gibt genau definierte Suchpfade, wo das System nach Libraries sucht, wenn ein Programm eine Library ohne Pfad lädt.

    2. Lädt das System eine Library mit Pfad, dann wird diese nur an diesem Pfad gesucht, egal ob dieser absolut oder relativ ist (wobei bei einem relativen Pfad wird dieser vielleicht auch versuchsweise an die Suchpfadeinträge angehängt, da bin ich mir nicht sicher).

    3. Zur Laufzeit kann ein Programm dieses Suchpfad dann selber ändern, was sich auf alle zukünftigen Ladeoperationen auswirkt, wenn das Programm später dynamisch Libraries nachladen sollte (sofern es das nicht mit absoluten Pfad macht, wo die Suchpfade eh wieder nicht zum tragen kommen).

    Keine Ahnung ob das in Windows auch so ist. Aber wichtig ist natürlich das der Default Suchpfad sinnvoll gesetzt ist. D.h. er sollte die systemtypischen Library Pfade enthalten (in UNIX z.B. /lib, /usr/lib... vielleicht noch /usr/local/lib) und als Fallback höchstens noch das Verzeichnis, in dem die gestartete App selber liegt, damit ich eine App irgendwo bei mir z.B. in mein Home legen und starten kann (zusammen mit den benötigten Libraries). Abgesehen davon kann man unter UNIX/Linux diesen Suchpfad in der Regel von Hand so setzen, wie man mag als Nutzer.

    Das aktuelle Working Directory hat in der Regel in keinem Suchpfad etwas zu suchen. Weder in dem für Libraries noch in dem für Befehle auf der Kommandozeile oder so.

    /Mecki

  9. Re: Wie solls besser gemacht werden?

    Autor: as (Golem.de) 26.08.10 - 17:03

    Hallo,

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Das heißt ich brauche nur darauf achten, dass ich vertrauenswürdige Shares
    > öffne und welche, die ich nicht kenne oder nicht vertraue nicht oder unter
    > Linux.

    Was ist denn vertrauenswürdig? Ein Kollege, den man gut kennt, der sowas weiterleitet? Vielleicht der Vorgesetzte mit Auftrag? Niemand garantiert einem, dass eine eigentlich vertrauenswürdige Quelle nicht schon erwischt wurde.

    gruß

    -Andy (Golem.de)

  10. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 27.08.10 - 08:23

    Was aber effektiv hilft: Entweder nach der DLL gucken, oder per STRG-A alle sichtbaren Dateien (wenn man keine DLL sieht) kopieren und lokal öffnen.

    Zusätzlich habe ich den REG-Key mit dem Wert 0xFFFFFFFF erstellt.

    Grüße vom Planeten Deviluke!

  11. Re: Wie solls besser gemacht werden?

    Autor: avx 27.08.10 - 09:46

    Hast du auch den Patch installiert? Der Regeintrag alleine ist unwirksam.

  12. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 27.08.10 - 10:59

    Ja, habe ich. :)

    Grüße vom Planeten Deviluke!



    1 mal bearbeitet, zuletzt am 27.08.10 11:01 durch Lala Satalin Deviluke.

  13. Re: Wie solls besser gemacht werden?

    Autor: avx 27.08.10 - 11:19

    Sehr schön ;)

    Daheim unter Windows 7 und hier auf der Arbeit unter XP SP3 isser auch schon installiert. Bis jetzt gibts nur mit Google Chrome Probleme...

  14. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 27.08.10 - 14:25

    Bei mir läuft Chrome auf XP SP3 einwandfrei mit dem Patch.

    Grüße vom Planeten Deviluke!

  15. Re: Wie solls besser gemacht werden?

    Autor: entity 27.08.10 - 15:28

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Was aber effektiv hilft: Entweder nach der DLL gucken, oder per STRG-A alle
    > sichtbaren Dateien (wenn man keine DLL sieht) kopieren und lokal öffnen.
    >
    > Zusätzlich habe ich den REG-Key mit dem Wert 0xFFFFFFFF erstellt.


    Nö - das hilft nicht. Gibt ein nettes Beispiel auf youtube - da haben die den WebDav Server so manipuliert das er einfach nach einer Anfrage nach der dll-Datei die verseuchte zurück liefert.
    http://www.youtube.com/watch?v=UdCxh1uNot0

    Also was hilft! 1. Alle Dateien vom WebDav kopieren auf ein lokales Laufwerk - dann alle vorhandenen ausführbaren Dateien und auf jeden Fall die .dlls löschen und danach das Dokument öffnen.

  16. Re: Wie solls besser gemacht werden?

    Autor: Lala Satalin Deviluke 28.08.10 - 02:02

    Auf WEbDAV bin ich eh nie unterwegs. Und solche YT-Videos sind keine vertrauenswürdige Quelle. Kann alles manipuliert sein.

    Grüße vom Planeten Deviluke!

  17. Re: Wie solls besser gemacht werden?

    Autor: asdfasdf2 28.08.10 - 16:21

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > idee12345 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Krux ist doch offensichtlich, dass _AUCH_ im Arbeitsverzeichnis
    > > (=CurrentDirectory) nach Biobliotheken gesucht wird.
    >
    > Was ein Designfehler von Windows ist, außer mir kann jemand eine wirklich
    > sinnvolles Anwendungsszenario nennen, wo so was Sinn machen würde. Ich sehe
    > keines.

    Portable Apps, auf einem USB-Stick ?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EGS-plan Ingenieurgesellschaft für Energie,- Gebäude- und Solartechnik mbh, Stuttgart
  2. Porsche Deutschland GmbH, Bietigheim-Bissingen
  3. AKAFÖ ? Akademisches Förderungswerk, AöR, Bochum
  4. über SCHAAF PEEMÖLLER + PARTNER TOP EXECUTIVE CONSULTANTS, Nordrhein-Westfalen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Mitsubishi: Satelliten setzen das Auto in die Spur
Mitsubishi
Satelliten setzen das Auto in die Spur

Mitsubishi Electric arbeitet am autonomen Fahren. Dafür betreibt der japanische Mischkonzern einigen Aufwand: Er baut einen eigenen Kartendienst sowie eine eigene Satellitenkonstellation auf.
Ein Bericht von Dirk Kunde


    Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
    Videoüberwachung
    Kameras sind überall, aber nicht überall erlaubt

    Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
    Von Harald Büring

    1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
    2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
    3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

    1. Internetdienste: Ermittler sollen leichter an Passwörter kommen
      Internetdienste
      Ermittler sollen leichter an Passwörter kommen

      Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".

    2. Netflix und Youtube: EU-Kommissarin warnt vor hohem Energiebedarf des Internets
      Netflix und Youtube
      EU-Kommissarin warnt vor hohem Energiebedarf des Internets

      Youtube, Netflix und Prime Video sind die Dienste, die besonders viel Internetverkehr generieren und damit auch einen besonders hohen Energiebedarf nach sich ziehen. Das sieht die Vizepräsidentin der EU-Kommission kritisch.

    3. Galaxy Fold: Samsung dementiert eigene Verkaufszahlen
      Galaxy Fold
      Samsung dementiert eigene Verkaufszahlen

      Samsung widerspricht sich selbst. Das Unternehmen bestreitet die Angabe eines ranghohen Samsung-Managers, der verkündet hatte, weltweit seien bereits eine Million Galaxy Fold verkauft worden. Vieles bleibt ungeklärt.


    1. 12:25

    2. 12:10

    3. 11:43

    4. 11:15

    5. 10:45

    6. 14:08

    7. 13:22

    8. 12:39