Neues Leck in Windows

Microsoft teilt mit, dass zahlreiche Windows-Anwendungen möglicherweise von einer neuen Schwachstelle betroffen sind. Angreifer können mit manipulierten DLL-Dateien die Kontrolle über ein System übernehmen. Das Verfahren ist schon länger als DLL-Preloading bekannt. Nach Angaben des Softwareanbieters gibt es scheinbar eine neue Angriffsmethode, für die zahlreiche Systeme anfällig sind.

In der Vergangenheit wurden solche Angriffe mithilfe von manipulierten Dateibibliotheken ausgeführt, die zuvor in ein lokales System eingeschleust wurden. Ein Anfang des Jahres veröffentlichter Bericht zweier Forscher der University of California in Davis weist darauf hin, dass Hacker schädliche DLLs auch über eine Netzwerkfreigabe zur Verfügung stellen können.

Welche Anwendungen genau von dem Problem betroffen sind, ist nicht bekannt. Microsoft untersucht einem Blogeintrag zufolge, ob auch Microsoft-Produkte anfällig sind.

Inzwischen hat HD Moore, Chief Security Officer von Rapid7 und Entwickler der Penetrationstest-Suite Metasploit Beispielcode für die Lücke veröffentlicht und in Metasploit integriert. Zudem habe er ein Testprogramm entwickelt, mit dem es möglich sei, anfällige Anwendungen zu identifizieren, schreibt Moore in einem Blogeintrag.

Microsoft hat ein Tool bereitgestellt, mit dem Systemadministratoren das Risiko eines Angriffs mindern können. Es erlaubt, das Verhalten des Betriebssystems und bestimmter Anwendungen beim Laden von DLL-Dateien zu ändern. Darüber hinaus rät Microsoft dazu, den WebDAV-Dienst zu deaktivieren und die Ports 139 und 445 in einer Firewall zu schließen.

Laut Joshua Talbot, Senior Intelligence Manager bei Symantec, wird es durch die Veröffentlichung eines Proof-of-Concept wahrscheinlicher, dass Hacker die Anfälligkeit für ihre Zwecke missbrauchen. Er empfiehlt Nutzern, die von Microsoft vorgeschlagenen Einstellungen vorzunehmen, die verhindern, dass DLL-Dateien über das Netzwerk geladen werden. Zudem weist er darauf hin, dass nicht alle Antivirenprogramme die Schwachstelle schließen können. Allerdings seien sie in der Lage, Schadcode zu erkennen, der über die Anfälligkeit eingeschleust und ausgeführt werden soll.