[English]Zum 18.12.2019 ist das Tool AdwCleaner 8.0.1 von Malwarebytes freigegebenen worden. Das Update schließt eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle.
Anzeige
Ein Beitrag zum Release stand bereits Freitag auf der Agenda, aber das Programm war da noch nicht öffentlich freigegeben.
Was ist der AdwCleaner?
Wenn nach Installation einer Software plötzlich merkwürdige oder ungewollte Werbung angezeigt wird oder ungewollte Programme unter Windows vorhanden sind, hat möglicher Adware zugeschlagen. Von dieser wurden diese ungewollten Funktionen installiert. Um das System von diesem Beifängen zu bereinigen, ist das für private Nutzung kostenloses Tool AdwCleaner des Anbieters Malwarebytes gedacht.
Der AdwCleaner fordert beim Start unter Windows administrative Berechtigungen per Benutzerkontensteuerung an und meldet sich mit obigem Fenster. Über Jetzt scannen lässt sich das Windows-Systeme scannen und von unerwünschter Adware bereinigen.
Anzeige
Das Programm kann Adware in Quarantäne verschieben, erzeugt eine Logdatei des Scans und besitzt eine Reihe Einstelloptionen (siehe folgende Abbildung).
So gibt es auch Optionen, um grundlegende Reparaturen an Windows (Firewall, BITS etc.) auszuführen. Standardmäßig erfolgt der Abgleich mit einer Datenbank in der Cloud, wobei diese Option aber abschaltbar ist. Zudem lassen sich Ausschlüsse für Software definieren – möglicherweise hilft das bei den von Blog-Leser Dekre in diesem Kommentar angesprochenen Problemen.
Ich hatte vor einigen Tagen im Blog-Beitrag Malwarebytes AdwCleaner 8.0 berichtet, dass eine neue Version verfügbar sei. In diesem Beitrag hatte ich auch einige Hinweise zum Download gegeben und angerissen, dass das Tool möglicherweise ein Sicherheitsrisiko im Beipack mitbringt. Doch dazu später mehr.
Dll-Hijacking-Schwachstelle bis Version 8.0.0
Beim Schreiben meines Blog-Beitrag Malwarebytes AdwCleaner 8.0 bin ich aber (war ein Zufallsfund) auf eine Sicherheitslücke bei diesem Tool gestoßen, die mich von einer Benutzung abgehalten hätte. Der AdwCleaner installiert zwar nichts, sondern wird nur per .exe-Datei gestartet. Das Programm fordert aber Administratorberechtigungen an, um die Bereinigung von Adware durchführen zu können.
Aus diesem Grund lasse ich solche Tools standardmäßig über ein Testbett laufen, um festzustellen, ob sogenannte DLL-Hijacking-Schachstellen existieren. Das heißt, die Software ruft beim Start oder beim Betrieb bestimmte DLL-Dateien (meist aus Windows) auf. Passt der Entwickler nicht auf, und ignoriert er, wie Windows nach DLL-Dateien sucht, werden diese DLL-Bibliotheken aber im Ordner, aus dem das Programm aufgerufen wurde gesucht.
Das bedeutet, beim mit administrativen Berechtigungen laufenden, AdwCleaner, dass der Code aus den nachgeladenen DLL-Dateien ebenfalls als Prozess mit administrativen Berechtigungen ausgeführt wird. Normalerweise geht das gut, da Windows die DLL-Dateien im Ordner des Programms nicht findet und dann in den Windows-Ordnern sucht. Weiß eine Malware aber, dass ein Tool eine DLL-Hijacking-Schwachstelle für bestimmte DLLs aufweist, braucht diese lediglich eine Datei gleichen Namens im Ordner mit der Anwendung abzulegen. Bei AdwCleaner dürfte das meist der Ordner Downloads sein.
Führt der Benutzer dann den AdwCleaner aus, fordert das Tool administrative Berechtigungen an. Der Benutzer wird diese erteilen, da er ja sein System von Junkware bereinigen will. Hatte eine Malware Gelegenheit, eine manipulierte DLL-Datei im AdwCleaner-Ordner abzulegen, würde diese geladen. Es findet dann ein DLL-Hijacking statt und die manipulierte DLL erhält quasi im Huckepack über den AdwCleaner administrative Berechtigungen. Könnte man als Privilege Escalation-Schwachstelle ansehen.
Als ich die Version des AdwCleaner adwcleaner_8.0.0.exe in meinem Testbett ausführte, erschien bei einigen DLLs eine Warnung. Die obige Warnung zeigt eine DLL, die beim Laden anfällig für DLL-Hijacking ist. Es gab in AdwCleaner 8.0.0 gleich mehrere DLLs, die auffielen.
Das Testbett wird übrigens von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei Forward.cab von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine Sentinel.exe, die auch in diesen Ordner wandert.
Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausführung laden. Dann sollte ein Virenscanner anschlagen.
Später kopiert man die zu testende Software in den Ordner des Testbetts und führt diese aus. Gibt es Alarme wie in obigem Screenshot gezeigt, liegt eine DLL-Hijacking-Schwachstelle vor. Ich habe hier im Blog ja bereits vor mehreren Tools mit solchen Schwachstellen gewarnt, meist nützt das nichts oder ich fange mir geharnischte Kommentare ein, wieso ich so etwas publiziere und ich könne es ja besser machen.
Meine persönliche Einschätzung der Schwachstelle ist, dass diese 'mittelkritisch' ist. Doof ist, dass die Schwachstelle eine Rechteausweitung ermöglicht. Allerdings konnte ein Benutzer die Ausnutzung leicht umgehen, indem er die AdwCleaner.exe vor deren Ausführung in einen eigenen, leeren Ordner kopiert. Dann läuft ein DLL-Hijacking-Angriff ins Leere.
Im aktuellen Fall habe ich dann am 10. Dezember 2019 die Pressestelle von Malwarebytes über den gefundenen Sachverhalt informiert. Am gleichen Tag meldete sich der Entwickler, der den AdwCleaner ursprünglich mal erstellt hat und versprach sich zu kümmern.
Am 11. Dezember 2019 erhielt ich eine Testversion mit dem AdwCleaner 8.0.1.exe, in der diese Schwachstelle angeblich gefixt war. Ein weiterer Test von mir ergab, dass dem nicht der Fall war, was ich dann auch meldete und die Entwickler auf die Schritte zum Erstellen des Testbetts hinwies. Am Freitag, den 12. Dezember 2019 bekam ich dann Zugriff auf eine Vorabversion, in der ich im Testbett keine DLL-Hijacking-Angreifbarkeit mehr feststellte. Nach Rücksprache mit dem Entwickler kündigte dieser die Freigabe zum 12. Dezember 2019 (am späten Abend Pariser Zeit) an. AdwCleaner ist ein Zukauf von Malwarebytes und ein Teil der Entwickler sitzt wohl in Frankreich.
An dieser Stelle muss ich zwei Sachen erwähnen. Stefan Kanthak teilte mir bei einem Kontakt mit, dass er diese Schwachstelle vor 3 Jahren bereits gemeldet habe, ohne dass was passiert sei. An dieser Stelle mein Dank an Stefan, der mir in der Vergangenheit immer mal wieder Hinweise auf solche Schwachstellen und auf das Testbett gab – ohne diesen Support hätte ich das Ganze niemals gefunden.
Nachdem ich mit dem Entwickler in Kontakt stand, hat dieser sehr schnell reagiert und die Software nach einigen Zusatzhinweisen im Hinblick auf die DLL-Hijacking-Problematik überarbeitet. Zudem hatte ich die Kritik von Blog-Leser Dekre im Hinblick auf unzulängliche Einstellungen beim Scan erwähnt. In der Version 8.0.1 wurden auch diesbezüglich Verbesserungen vorgenommen (ob ausreichend, weiß ich nicht). Es wurde der Schwachstelle bisher zwar keine CVE-Nummer zugewiesen, aber diese ist beseitigt. Von daher auch ein Lob an den Entwickler Jérôme Boursier für die schnelle Reaktion.
Malwarebytes AdwCleaner 8.0.1 freigegeben
Seit Veröffentlichung des Beitrags Malwarebytes AdwCleaner 8.0 wartete ich auf die Freigabe der korrigierten Version 8.0.1. Gestern informierte mich Lawrence Abrams von Bleeping Computer, dass diese Version freigegeben worden sei. Abrams kennt den Entwickler Jérôme Boursier und hatte mir seine Vermittlung beim DLL-Hijacking-Thema angeboten (was aber nicht erforderlich wurde).
Gestern Abend informierte AdwCleaner-Entwickler Jérôme Boursier mich dann bei einem weiteren Kontakt ebenfalls über die offizielle Freigabe der Version 8.0.1 und erwähnte, dass er das Release im Forum angekündigt habe.
We are pleased to share the new AdwCleaner 8.0.1!
In line to the improvements made in AdwCleaner 8, we've been pushing towards improving detection and remediation capabilities, and this time we focused on Mozilla Firefox. We completely rewrote the way we scan and clean Firefox addons, preferences, search engines, start pages, etc.. This allows to reduce the technology debt, to have a more maintainable codebase, and to gain in detection rate and remediation effectiveness.
On top of this major change, we fixed a security vulnerability reported by Günter Born. AdwCleaner 7.0 up to 8.0.1 are vulnerable to DLL hijacking. This has now been fixed. We are very grateful for the report, and we encourage everyone to report us any vulnerabilities in AdwCleaner. We will study them and depending on the severity, act accordingly.
This is the last release of 2019. We hope to keep our newly found pace in 2020 to improve quality, speed, and detection rate!
Der Forenbeitrag mit den Release-Notes enthält auch einen detaillierteren Changelog:
Detailled changelog:
## v8.0.1 [18/12/2019]
### New Features
– Re-Implement Firefox module. It now properly supports detecting and removing extensions, startpage, searchengines, preferences…
### Changes
– Hide debug output
– Update telemetry internals.
– Update definitions to 2019.12.17.1### Bugfixes
– Fix a DLL Hijacking vulnerability in AdwCleaner 7.0+, reported by Günter Born.
Es sind wohl einige Verbesserungen erfolgt und die von mir gemeldete DLL-Hijacking-Schwachstelle wurde beseitigt. Es ist voraussichtlich die letzte Version des AdwCleaner in 2019.
Ähnliche Artikel:
Malwarebytes AdwCleaner 8.0
DLL-Hijacking in Autodesk, Trend Micro, Kaspersky
McAfee patcht Schwachstelle in Antivirus-Produkten
Schwere Sicherheitslücke in Dells PC-Doctor-Assistant
7-Zip Version 19.00 freigegeben
Windows-Tool UserBenchMark – Finger eher davon lassen
Anzeige
…ich hatte bei einigen vorgängerversionen immer mal wieder das problem, das ADW unter win7 gleich wieder beendet wurde (von windows) – gab immer ne fehlermeldung, das das programm fehlerhaft sei…
…habe mir dann immer die neuste version runtergeladen, mit der das dann erstmal wieder funktionierte – das fing so ab der version 7.4.0 an – nun scheint es aber wieder problemlos zu laufen… (version ab der der 7.4.2 und dann mit 8.00 und der 8.01)…
Bei startet Adwcleaner gar nicht. Als Admin gestartet passiert gar nicht mehr. Die Version 7 xxx funktionierte noch ohne Probleme.
Nachtrag
Habe gerade AdwCleaner 8.0.2 vom 9. Januar 2020 heruntergeladen.
gehört noch dazu
https://support.malwarebytes.com/hc/en-us/articles/360038520054