[English]Microsoft hat damit vor einiger Zeit seine Store-Apps mit einem neuen Installer versehen. Dieser enthält einen ausführbaren .NET-Wrapper der Telemetrie und weiteren Code in die App integriert. In der ersten Version wies dieser .NET-Wrapper aber eine DLL-Hijacking-Schwachstelle auf, die ich hier im Blog dokumentiert hatte. Nun ist mir die Information zugegangen, dass Microsoft die DLL-Hijacking-Schwachstelle beseitigt habe.
Anzeige
Store-Apps mit Telemetrie-Wrapper
Entwickler Rafael Rivera war aufgefallen, dass seine Store-App EarTrumpet im April 2024 plötzlich mit einem neuen .NET-Wrapper versehen worden war und mit einem entsprechenden Installer ausgeliefert wurde.
Der technische Hintergrund ist, dass Microsoft ein Store-Installationsprogramme für das Web eingeführt hat, welches eine neue und optimierte Möglichkeit bietet, Store-Anwendungen direkt von apps.microsoft.com aus zu installieren. Ich hatte diesen Sachverhalt im Blog-Beitrag Microsoft packt Store-Apps mit Telemetrie-Wrapper aufgegriffen.
Das DLL-Hijacking-Problem
Anzeige
Es war das alte Problem: Die Entwickler haben sich auf die Standardvorgaben von Windows verlassen und mit dem Store-Installer eine Sicherheitslücke aufgerissen. Der App-Installer-Wrapper enthielt einen DLL-Hijacking-Helper, der das Einschleusen von Malware ermöglichte. Ein Angreifer muss im Download-Ordner lediglich eigene Dateien der Art ncrypt.dll, cryptsp.dll, cryptbase.dll, bcrypt.dll, msvcp140_clr0400.dll, profapi.dll, en\StoreInstaller.resources.dll, d3d9.dll, etc. ablegen und warten. Sobald der Installer ausgeführt wird, lädt dieser die betreffenden DLLs.
Das Ganze ist unter dem Begriff DLL-Hijacking bekannt: Windows sucht im Ordner des ausgeführten Programms und in bestimmten Pfaden nach den angegebenen DLL-Bibliotheksdateien. Erst wenn diese dort nichts gefunden werden, schaut Windows in den eigenen Systemordnern nach und lädt die Bibliotheken. Ich hatte die Details im Blog-Beitrag Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle aufgegriffen.
Microsoft korrigiert des Problem
Nachdem Entwickler Rafael Rivera das Thema auf X in Tweets aufgegriffen und Sicherheitsforscher wie Will Dormann darüber berichtet haben, sind die Microsoft-Entwickler wohl erneut in sich gegangen. Denn man kann durchaus im Programm angeben, dass die Anwendung gezielt in den Windows-Ordnern nach den benötigten DLLs schaut und nicht die Standardvorgaben des Betriebssystems verwendet.
Die Tage habe ich einen Tweet von Rafael Rivera gesehen, der berichtet, dass Microsoft in aller Stille seine App-Installationsdatei überarbeitet habe. Der Suchpfad für die DLL wurde so geändert, dass ein DLL-Hijacking nicht mehr funktioniert. Weiterhin sei ein neues Symbol hinzugefügt worden etc. Riviera hat bisher keine Rückmeldung des Microsoft Team im Hinblick auf diese Änderung, obwohl er die Leute kontaktiert hatte, nachdem er auf die DLL-Hijacking-Schwachstelle gestoßen war.
Ähnliche Artikel:
Microsoft packt Store-Apps mit Telemetrie-Wrapper
Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle
Anzeige
Was für ein Schocker! Nutzlose Telemetrie stellt eine Angriffsfläche dar?
/Sarkasmus weit Richtung Redmond geworfen
Danke Günni, passt wie immer in unser datensparsames Weltbild und sorgte für ein Schmunzeln ;)
Dummerweise stopfen die Spezial-Eksperten aus Redmond die andere, in jeder .NET missbrauchenden Anwendung vorhandene und DOKUMENTIERTE Schnittstelle zum Ausführen einer DLL NICHT, da sie im Unterbau von .NET https://msdn.microsoft.com/en-us/library/bb756926.aspx IGNORIEREN: siehe https://msdn.microsoft.com/en-us/library/bb384689.aspx#initializing-the-profiler und https://msdn.microsoft.com/en-us/library/ee471451.aspx#startup-load-profilers sowie https://skanthak.homepage.t-online.de/uacamole.html