Im Internet sind zahlreiche Exploits aufgetaucht, die eine sehr kritische Sicherheitslücke in Windows ausnutzen. Wie das Internet Storm Center berichtet, wird die DLL-Sicherheitslücke bereits aktiv ausgenutzt. Betroffen sind zahlreiche Anwendungen wie z.B. Photoshop, Thunderbird oder Microsoft Office.
Ursprünglich wurde von rund 40 betroffenen Anwendungen ausgegangen. Mittlerweile wurde die Zahl jedoch nach oben korrigiert, denn die Sicherheitslücke wird in immer mehr Programmen entdeckt. Auf “Exploit Database” werden ständig neue Exploits zum Runterladen angeboten.
Um ein System anzugreifen betreiben Hacker “DLL Hijacking”. Hier wird im Suchverhalten von Windows eine Schwachstelle ausgenutzt. Wurde von den Programmentwicklern der Pfad einer DLL nicht richtig festgelegt, dann sucht das Windows Betriebssystem in anderen Ordnern nach dieser DLL. Für gewöhnlich befindet sich bei der Suche an vorletzter Stelle das Arbeitsverzeichnis. Das Arbeitsverzeichnis muß nicht zwingend lokal liegen, sondern kann auch dezentral, z.B. in einem Netzlaufwerk liegen. Es kann somit vorkommen, daß das Programm nicht installierte DLLs lädt, denn wenn eine Anwendung nach einer DLL fragt, die sich nicht auf jedem System befindet, sucht Windows danach auch im Arbeitsverzeichnis.
Das Ausnutzen dieser Schwachstelle sieht vor, daß eine DLL-Datei mit entsprechendem Namen und präpariertem Inhalt ins System eingeschleust wird. Beim Aufruf der DLL durch das jeweilige Programm wird somit der Schadcode ausgeführt. Einen sicheren und hundertprozentigen Schutz dagegen gibt es leider nicht, da dies den Grundsätzen der Systemarchitektur von Windows selbst widerspricht. Microsoft liefert ein Sicherheitstool aus, um das Problem in den Griff zu bekommen.
Microsoft beschreibt zwei Methoden, mit denen das Risiko der Sicherheitslücke reduziert werden kann:
Geben Sie im Windows-Startmenü „Dienste“ ein (XP-Nutzer klicken zuvor auf „Ausführen …“). Suchen Sie hier den Dienst „WebClient“, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften. Stellen Sie im Ausklappmenü den Status auf Deaktiviert und bestätigen Sie mit OK. Im zweiten Schritt weisen Sie in der Systemsteuerung Ihre Firewall an, Zugriffe von den TCP-Ports (Transmission Control Protocol) 139 und 445 zu blockieren – laut Microsoft beeinträchtigen diese Änderungen aber auch harmlose Dienste, die dann nicht mehr funktionieren.
Popularity: 1%
Loading ...
