[Free@Style]

Zitat:

Schutz vor DLL-Lücke in Windows-Programmen

Microsoft bestätigt erstmals die Existenz der DLL-Sicherheitslücke, wie sie letzte Woche von mehreren Securtiy-Experten beschrieben wurde. Das Kernproblem ist, dass die meisten Windows-Programme einen unsicheren Weg nutzen, um DLL-Dateien zu laden.

Beispiel: Liegt ein Video auf einem Server im Internet, dann kann es mit einem Player direkt abgespielt werden. Der Player selbst lädt aber nicht nur das Video, sondern braucht auch DLL-Dateien um korrekt zu funktioneren. Problematisch ist, dass nicht immer klar ist, wo die passenden DLLs liegen. Der Bug: Oft gucken Programme als erstes im aktuellen Verzeichnis nach DLLs, also im Beispiel in dem Server-Verzeichnis, in dem auch die Video-Datei liegt.

Angreifer können dann eine manipulierte DLL-Datei neben dem Video ablegen und sich auf diesem Weg Adminrechte verschaffen. Ein Windows-Patch kann dieses Problem nicht beheben, vielmehr müssen die Programmanbieter selbst ihre Tools patchen. Wie man DLL-Dateien sicher lädt, beschreibt Microsoft in einem eigenen Beitrag.


Microsoft prüft eigene Tools

Trotzdem es eine Möglichkeit gibt, wie man DLLs sicher laden kann, nutzt Microsoft selbst zumindest in einigen Fällen die unsichere Methode für DLLs. So soll der Windows Explorer von der Schwäche betroffen sein, weitere eigene Programme will Microsoft schnellstmöglich auf die Lücke prüfen und patchen. Bisher ist immer noch nicht bekannt, welche Windows-Programme genau betroffen sind, es ist lediglich klar, dass es sehr viele sind.

So schützen Sie sich
Bei der Fülle an betroffenen Programmen bezweifeln Experten, dass es schnell Patches geben wird. Man vermeidet den Bug, indem man keine zweifelhaften Dateien von Webservern direkt ausführt. Es hilft auch schon, eine Datei lokal zu speichern und erst dann auszuführen. In der Zwischenzeit beschreibt auch Microsoft wie man sich mit einem Workaround schützen kann. So sollte der WebClient-Dienst abgeschaltet werden. Sie finden ihn in der Diensteverwaltung von Windows. Über "Eigenschaften" im Kontextmenü können Sie den "Starttyp" auf "Deaktiviert" stellen.

Jetzt müssen Sie noch dafür sorgen, dass DLLs nicht aus dem Internet oder von Netzwerkfreigaben nachgeladen werden. Melden Sie sich als Administrator an und starten Sie regedit. Navigieren Sie zum Unterschlüssel HKLM\SYSTEM\CurrentControlSet\Control\Session Manager und klicken Sie mit der rechten Maustaste auf Session Manager, wählen Sie "Neu" und danach "DWORD-Wert". Geben Sie CWDIllegalInDllSearch ein und klicken Sie anschließend auf "Ändern".
Geben Sie in das Feld "Wert" den Datenwert "1" ein, und klicken Sie auf OK. Zusätzlich sollten noch die TCP-Ports 139 und 445 an der Firewall geblockt werden.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]