DLL-Hijacking in Autodesk, Trend Micro, Kaspersky

Altes Thema neu aufgewärmt: Sicherheitsforscher haben mal wieder kritische Schwachstellen in Produkten von Autodesk, Trend Micro und Kaspersky aufgedeckt. Diese laufen unter der Rubrik: Schwachstellen, die ein DLL-Hijacking ermöglichen.


Anzeige

DLL-Hijacking, was ist das?

DLL-Hijacking ist ein Angriffsmechanismus, der das Laden von Bibliotheksdateien (DLLs) aus einem vom Programm-Entwickler nicht vorgesehen Pfad bezeichnet. Verwendet der Entwickler keine vollständige Pfadangabe zu der DLL, greift in Windows ein Standard-Mechnismus. Windows sucht dann die DLL standardmäßig zuerst in dem Ordner, aus dem das die DLL aufrufende Programm selbst gestartet wurde.

DLL-Hijacking eröffnet Malware die Möglichkeit, eigene DLLs in einem Pfad für eine Anwendung abzulegen. Diese DLLs wird dann durch die Anwendung geladen (und falls die keine Signaturen überprüft, auch ausgeführt). Das ist dann vor allem bei Installern ein Problem, wenn diese aus einem Download-Ordner oder einem temporären Ordner aufgerufen werden, wo jeder Schreibberechtigung hat. Da Installer anschließend mit Administrator-Berechtigungen ausgeführt werden, erhalten geladene DLLs ebenfalls diese Berechtigungen.

Unter Sicherheitsaspekten ist dieses Verhalten als Sicherheitslücke zu betragen. Bei vielen Windows-Programmen ist dieser Mechanismus zu finden, und einer Anwendung kann per DLL-Hijacking leicht Schadcode in Form einer präparierten DLL-Datei untergeschoben werden – es sei denn, der Programmcode verhindert dies.

Sicherheitsalarm bei NVTrimmer 0.5


Anzeige

Ich habe hier ein Test-Bett unter Windows, in dem ich prüfen kann, ob ein Programm anfällig für DLL Hijacking oder Sicherheitsprobleme ist. In dieser Testumgebung finden sich Module von Stefan Kanthak, die ggf. Alarm schlagen, wenn was nicht sauber programmiert ist (siehe auch mein Beitrag hier). Leider sind extrem viele Programme anfällig für DLL-Hijacking.

Neue Fälle: Autodesk, Trend Micro, Kaspersky

Hier im Blog habe ich daher eine Reihe solcher Fälle bei verschiedenen Programmen thematisiert. Nun ist mir wieder ein solcher Fall unter die Augen gekommen, der gleich drei Produkte von Autodesk, Trend Micro und Kaspersky betrifft. Betroffen sind:

  • CVE-2019-15628: Trend Micro Maximum Security Version 16.0.1221 und früher
  • CVE-2019-15689: Kaspersky Secure Connection, den VPN-Client von Kaspersky Internet Security
  • CVE-2019-736: Desktop-Anwendung von Autodesk

Die betreffenden Schwachstellen sollen von den Herstellern der Produkte inzwischen beseitigt worden sein. Ich bin über folgenden Tweet auf den Fall aufmerksam geworden.

ZDNet hat den Sachverhalt in diesem deutschsprachigen Beitrag aufgegriffen. Dort und in den oben verlinkten Artikeln von Safebreach lassen sich bei Bedarf weitere Details nachlesen.

Ähnliche Artikel:
Microsoft will Installer-Schwachstelle nicht schließen
Teams: Erfolgreich, aber ein Sicherheits-GAU
Warnung: NVTrimmer-Tool für Nvidia-Treiberanpassung
Nonsense-Projekt: Windows 95 als App
MDOP/MBAM-Update KB4340040 und die Sicherheitlücken
McAfee patcht Schwachstelle in Antivirus-Produkten
Sicherheitsupdate für Trend Micro Anti-Threat Toolkit
Schwachstelle in TM Anti-Threat Toolkit weiter ungefixt


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu DLL-Hijacking in Autodesk, Trend Micro, Kaspersky

  1. Günter Weismann sagt:

    VPN von Kaspersky:
    Wer einen VPN-Dienst verwendet, wird sich sicherlich genauer darüber informieren.
    Dabei wird er in diesem Fall feststellen, dass das kein Kaspersky-Produkt ist sondern in Zusammenarbeiter mit einem USA-VPN-Anbieter angeboten wird.
    Wer dann diese Software trotzdem verwendet, sollte sich im klaren sein, dass damit die Trump'schen Gesetze gelten und die Software den USA-(Un)Sicherheitsbedingungen unterliegen.
    Und das wird auch eindeutig und klar seitens Kaspersky angegeben. Darüber zu jammern ist m.M.n. wiedereinmal reine journalistische Wichtigtuerei.
    Einen VPN-Dienst zu verwenden, deren Sitz in den USA liegt ist ja perse schon ein Paradoxon für sich, da braucht es nicht noch extra Sicherheitslücken darin….
    Lässt sich im übrigen ganz einfach über die Systemsteuerung deinstallieren.
    Neu ist das aber nicht, das ist schon seit Jahren so und wird schon seit Jahren so kommuniziert.

    • paradigmshift sagt:

      Ich sehe keinen Widerspruch darin amerikanische VPN zu nutzen. Manche wollen einfach nur Netflix, Hulu, etc mit U.S. Angebot nutzen und nicht die EU-Version.

      Außerdem sind VPN ein Placebo, jeder VPN-Betreiber wird sofort eure Daten herausgeben, wenn eine Behörde das verlangt. Aber der Aluhut sitzt bei manchen zu fest.

      Was manche für Sorgen haben, als wären sie chinesische Dissidenten. Außerdem gibt es ja TOR, für Leute denen wirklich Verfolgung droht und nicht weil sie sich überbewerten in dem Interesse des Staates an ihnen.

      Amen.

      • Die/Das/Der Gender-Krankheit*er sagt:

        "…Was manche für Sorgen haben, als wären sie chinesische Dissidenten…"
        Dann äussere Dich mal in der Schweiz öffentlich und in grossem Mass als Nicht-Rot-Grün. Dann wirst Du durch den Dreck gezogen, dein Internet- und E-Mail-Verkehr wird von den Rot-Grünen überwacht, weil die Verbindungen in jeden Provider haben, in den (Online)-Zeitungen erscheinen konzertiert destruktive Artikel, wenn du eine oder mehrere Webseiten hast, werden diese gesetzeswidrig abgestellt usw. usf.
        Und der Rechtsstaat schaut zu, weil er käuflich, aber nur für Wenige erschwinglich ist.

        • paradigmshift sagt:

          Das ist schade, aber leider ist Politik in der Tat ein Tabuthema, wenn man seine Karriere nicht schädigen will. Sollte jemand wirklich einen anonymen, aber legalen Beitrag von Ihnen mit Ihrem Klarnamen verknüpft haben, dann ist das Doxing und nicht rechtsstaatlich.

          Ein Eidgenosse erzählte mir das bei Ihnen auch nicht alles so toll ist wie Deutsche das immer denken, aber es erscheint mir noch erträglich.

          • Die/Das/Der Genderkrankheit*er sagt:

            Ich bin Eidgenosse. Es ist nicht mehr erträglich.

            Z.B.: Die Politik hält die Verfassung absichtlich nicht ein und die in der Verfassung garantierten Rechte gelten nur für die Rot-Grünen und das Strafgesetzbuch gilt für die Rot-Grünen nicht, aber für die Nicht-Rot-Grünen.

  2. Gaga sagt:

    @Die/Das/Der Genderkrankheit*er

    Das ist in Deutschland nicht anders… allerdings sind hier in DE alle politischen Farben beteiligt.
    Erinnere Dich an das "Netzwerkduchsetzungsgesetz" (was für ein Wahnsinn!), an die veröffentlichte Meinung (nicht öffentliche Meinung!), an die Anweisung an alle SM unliebsame Meinungen und Meinungsäußerungen an das BKA zu melden usw…

    Wir haben uns mehr oder weniger freiwillig in diese Falle begeben und da sitzen wir nun, essen gierig das letzte stück Käse das sich darin befindet und dann…. geht das Licht aus. Klappe zu, Affee tot!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.