1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Binary Planting: Fehlende DLLs…

Wirklich so gefährlich?

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Wirklich so gefährlich?

    Autor: titrat 26.08.10 - 11:59

    Immerhin muss man ja erst eine Datei mit der Endung "DLL" ins Arbeitsverzeichnis der jeweiligen Anwendung hineintransportieren - das geht ja nur unter Ausnutzung anderer schwerwiegender Lücken - wozu braucht man dann noch diese zweite Lücke?

    Diese DLL-Geschichte ist ja schon seit Jahrzehnten bekannt, ohne bisher als derart gefährlich angesehen worden zu sein. Sturm im Wasserglas?

  2. Re: Wirklich so gefährlich?

    Autor: FYI 26.08.10 - 12:07

    Arbeitsverzeichnis != Programmverzeichnis

  3. Re: Wirklich so gefährlich?

    Autor: nepumuk 26.08.10 - 12:16

    Selbst ein DAU ist im Jahre 2010 schon so schlau, nicht auf exe-Dateien zu klicken, die er per E-Mail erhält.

    Aber wenn er jetzt eine ZIP-Datei von einem "Freund" geschickt kriegt, in der 4 (versteckte) DLL's und eine MP3-Datei sind.
    Da denkt doch jeder, da kann man bedenkenlos drauf klicken.

  4. Re: Wirklich so gefährlich?

    Autor: adsas 26.08.10 - 12:21

    kann er doch auch. er darf die dlls nur nicht in ein arbeitsverzeichnis von einer anwendung tun, die die dlls aufruft.

    die ganze geschichte stinkt doch nach sommerloch.

  5. Re: Wirklich so gefährlich?

    Autor: autoangeber 26.08.10 - 12:21

    nepumuk schrieb:
    --------------------------------------------------------------------------------
    > Selbst ein DAU ist im Jahre 2010 schon so schlau, nicht auf exe-Dateien zu
    > klicken, die er per E-Mail erhält.
    >
    > Aber wenn er jetzt eine ZIP-Datei von einem "Freund" geschickt kriegt, in
    > der 4 (versteckte) DLL's und eine MP3-Datei sind.
    > Da denkt doch jeder, da kann man bedenkenlos drauf klicken.


    So einfach ist das auch nicht. Netter ist das doch über Website einzuschleusen. Da wo es nicht so schnell wahrnehmbar ist machen solche Sachen mehr Spaß lmaa-aaml.meinbrutalo.de

  6. Re: Wirklich so gefährlich?

    Autor: aaaaad 26.08.10 - 12:24

    seit wann hat der player sein arbeitsverzeichnis bei der mp3-datei?

  7. Re: Wirklich so gefährlich?

    Autor: SoLeichtGehtsNicht 26.08.10 - 12:28

    nepumuk schrieb:
    --------------------------------------------------------------------------------
    > Selbst ein DAU ist im Jahre 2010 schon so schlau, nicht auf exe-Dateien zu
    > klicken, die er per E-Mail erhält.
    >
    > Aber wenn er jetzt eine ZIP-Datei von einem "Freund" geschickt kriegt, in
    > der 4 (versteckte) DLL's und eine MP3-Datei sind.
    > Da denkt doch jeder, da kann man bedenkenlos drauf klicken.

    cmd
    cd c:\mein\verzeichnis\mit\dllundmp3
    c:\programme\winamp\winamp.exe meine.mp3

    Nur so wuerde es gehen, wenn ich das richtig verstanden habe.
    Klickt man aber auf die Mp3 wird doch nur der pfad dem programm übergeben und nicht das programm vom pfad aus aufgerufen.. hmmmmmmm......

  8. Re: Wirklich so gefährlich?

    Autor: Tantalus 26.08.10 - 12:28

    Das Arbeitsverzeichnis ist das Verzeichnis, in dem die vom Programm geöffnete Datei (.MP3, .doc, etc) liegt. Viele hier verwechseln das mit dem Programmverzeichnis, in welchem das Programm selbst installiert ist.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  9. Re: Wirklich so gefährlich?

    Autor: dssdasdas 26.08.10 - 12:29

    wenn der player sein arbeitsverzeichnis bei der mp3-datei hätte, würde er nicht mehr auf die eigenen plugins zugreifen können, die meist im programmverzeichnis/plugins/* liegen

  10. Re: Wirklich so gefährlich?

    Autor: Schnubbe 26.08.10 - 12:29

    aaaaad schrieb:
    --------------------------------------------------------------------------------
    > seit wann hat der player sein arbeitsverzeichnis bei der mp3-datei?

    Schon immer.

    Arbeitsverzeichnes -> Das Verzeichnis, in dem die Dateien liegen, mit denen ein Programm "arbeitet".

    Sind beim Office die Dokumente, beim Player die Musik-/Videodateien.

  11. Re: Wirklich so gefährlich?

    Autor: Tantalus 26.08.10 - 12:31

    SoLeichtGehtsNicht schrieb:
    --------------------------------------------------------------------------------
    > Nur so wuerde es gehen, wenn ich das richtig verstanden habe.
    > Klickt man aber auf die Mp3 wird doch nur der pfad dem programm übergeben
    > und nicht das programm vom pfad aus aufgerufen.. hmmmmmmm......

    Das Arbeitsverzeinis ist immer das Verzeichnis, in dem die aufgerufene Datei liegt. Sonst müsstest Du z.B. beim Schnellspeichern immer den Pfad mit angeben, unter dem gespeichert werden soll.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  12. Re: Wirklich so gefährlich?

    Autor: aaaaad 26.08.10 - 12:35

    wenn man ein programm schreibt das eine datei aus den command line arguments öffnet und dann einen speicherdialog anzeigt, dann startet dieser entweder im home verzeichnis oder im anwendungsverzeichnis, aber nicht dort wo die angegebene datei liegt.

  13. Re: Wirklich so gefährlich?

    Autor: aaaad 26.08.10 - 12:39

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Das Arbeitsverzeinis ist immer das Verzeichnis, in dem die aufgerufene
    > Datei liegt. Sonst müsstest Du z.B. beim Schnellspeichern immer den Pfad
    > mit angeben, unter dem gespeichert werden soll.
    >
    > Gruß
    > Tantalus

    Mach eine Verknüpfung zum vlc und gib als parameter den vollständigen pfad einer mp3 an. dann schaust du in den eigenschaften der verknüpfung nach "Ausführen in:". das ist das arbeitsverzeichnis und du kannst es auf "c:\babane" oder sonst was setzen. wenn der vlc keine weiteren dateien aus dem arbeitsverzeichnis braucht, wird die mp3 trotzdem abgespielt.

  14. Re: Wirklich so gefährlich?

    Autor: aaaad 26.08.10 - 12:45

    oder noch besser:

    starte process explorer von sysinternals.
    öffne eine datei durch doppelklick oder "öffnen mit" mit dem vlc.
    geh im process explorer auf die eigenschaften vom vlc.

    path: C:\Program Files (x86)\VideoLAN\VLC\vlc.exe
    command line: "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file "C:\test.mp3"
    current directory: C:\Windows\System32\

  15. Re: Wirklich so gefährlich?

    Autor: Tantalus 26.08.10 - 12:48

    Ok, muss mich selbst ein wenig präzisieren:
    Standardmäßig ist das Arbeitsverzeichnis das Verzeichnis, in dem die aufgerufene Datei liegt. Wer bitte geht schon her, und ändert den Pafd in der Verküpfung ab? Oo

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  16. Re: Wirklich so gefährlich?

    Autor: aaaad 26.08.10 - 12:49

    siehe oben

  17. Re: Wirklich so gefährlich?

    Autor: Tantalus 26.08.10 - 13:28

    current directory != Arbeitsverzeichnis (AFAIK).

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  18. Re: Wirklich so gefährlich?

    Autor: aaaad 26.08.10 - 14:35

    current directory ist das verzeichnis in dem die anwendung arbeitet. in dem fall ist es c:\windows\system32, weil das programm vom explorer per shell32.dll gestartet wurde und die liegt in c:\windows\system32.

    das führt das beispiel ad absurdum, denn gerade wenn der dau eine mp3 aus einem email-anhang öffnet, befindet sich das arbeitsverzeichnis des players im sichersten verzeichnes überhaupt.

  19. Re: Wirklich so gefährlich?

    Autor: martin_iz 26.08.10 - 14:49

    Es geht darum:

    Das wäre der erste Fall:

    Du hast ein Porgramm VLC.
    Du klickst auf Öffnen. Und öffnest einen Datei *.avi. Jetzt änderst du das "Current Working Directory".
    Vlc öffnet die Datei. VLC hat ein Pluginsystem und würde nachträglich eine dll laden wollen.
    Diese ist aber nicht auf deinem System installiert weil das Plugin fehlt. Ein böser hat ein dll(die VLC durch das Plugin laden würde) mit genau dem Namen genau dort hin gelegt wo du die Datei geöffnet hast *.avi. "Current Working Directory"
    Jetzt würde VLC diese Dll laden und den Code ausführen der von VLC aufgerufen wird. Der aber nicht der Code ist
    den die Entwickler von VLC entwickelt haben.

    Also als Bsp für VLC. ob intern das Pluginsystem so arbeitet weiß ich nicht!

    Ein andere Möglichkeit die schon etwas doofer ist.

    VLC nutz ein Bibliothek. Diese wird geladen. Diese Bibliothek lädt dlls abhängig ob sie dort sind oder nicht.
    Der Entwickler macht in der Bibbliothek etwas unsauberes:
    Er setzt irgendwann mal mit SetCurrentDirectory(...) (wohin auch immer) un startet etwas mit CreateProcess(...) um irgendwas zu starten.
    Der gestartene Prozess würde dll suchen die es z.b nur auf Windows7 oder XP gibt findet sie nicht.
    Der Angreifer kennt das Programm und das Problem und hat aber eine dll dort abgelegt wohin SetCurrentDirectory(...) gesetzt wurde. Diese würde jetzt geladen. Und du brauchst dazu keine Adminrechte um die dll auszutauschen oder so.

    Das Problem ist halt das der Entwickler der die Bibliothek lädt davon nichts wissen kann und sich daher auch keine Gedanken darüber macht.

    Also ausnützen könnte man das indem du im ersten Fall auf ein Netzlaufwerk gehst und eine *.doc,*.avi,*.blabla öffnest.
    Du siehst meistens ja dann nur die Dateien gefiltert und die dll eben nicht. Und natürlich das Programm muss nachträglich Dlls laden.
    Meinstens Programme mit Pluginsystem ...

    Also extrem vereinfacht :D. Du rufst deinen Kunden an. Er soll über dein Netzlaufwerk eine *.doc öffnen.
    Am schluss sagst du hey ich hab gerade kein Word können sie mal F1 drücken ich will mal kurz einen Shortcut wissen aus der Hilfe.
    F1 lädt per dlls das Hilfesystem nach und da eine dll auf deinem system nicht da ist die nur unter nur Win7 vorhanden ist lädt er deine dll und führt deinen Code aus und zack.

    Oder das man lokal wenn du gerade nicht am PC hockst schnell ne dll hin schiebst. So irgndwie. Aber man braucht halt keine unter umständen keine Admin Rechte.
    Oder halt irgendwie per Installer. (aber da gibts dann eh andere Wege).

    Also für jemanden der nur lokal auf seinem PC arbeitet ist das eher nicht so schlimm.

  20. Re: Wirklich so gefährlich?

    Autor: martin_iz 26.08.10 - 14:58

    äää seinem :)
    F1 lädt per dlls das Hilfesystem nach und da eine dll auf "seinem" system nicht da ist, weil sie nur unter nur Win7 vorhanden ist lädt er deine dll und führt deinen Code aus und zack.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HMS Technology Center Ravensburg GmbH, Ravensburg
  2. Blickle Leitstellen & Kommunikationstechnik GmbH & Co KG, Ludwigsburg
  3. über duerenhoff GmbH, Raum Düsseldorf
  4. Polizeipräsidium Unterfranken, Aschaffenburg, Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2
  3. Micropython Das Pyboard D ist ein Steckbausatz für IoT-Bastler

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

  1. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für günstigere Notebooks mit Windows 10 on ARM gedacht, der Snapdragon 7c wird in Chromebooks stecken.

  2. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.

  3. Cloud Gaming: Stadia hat neue Funktionen und ein Spiel mehr
    Cloud Gaming
    Stadia hat neue Funktionen und ein Spiel mehr

    Nutzer des Spielestreamingdienstes Stadia können über das Gamepad auch den Google Assistant verwenden - allerdings mit Einschränkungen. Außerdem gibt es mit Darksiders Genesis erstmals ein neues Spiel auf der Plattform.


  1. 21:30

  2. 16:40

  3. 16:12

  4. 15:50

  5. 15:28

  6. 15:11

  7. 14:45

  8. 14:29