{"id":226254,"date":"2019-12-19T07:27:01","date_gmt":"2019-12-19T06:27:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226254"},"modified":"2019-12-19T09:23:41","modified_gmt":"2019-12-19T08:23:41","slug":"adwcleaner-8-0-1-schliet-dll-hijacking-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/19\/adwcleaner-8-0-1-schliet-dll-hijacking-schwachstelle\/","title":{"rendered":"AdwCleaner 8.0.1 schließt DLL-Hijacking-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Zum 18.12.2019 ist das Tool AdwCleaner 8.0.1 von Malwarebytes freigegebenen worden. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle.<\/p>\n

<\/p>\n

\"\"Ein Beitrag zum Release stand bereits Freitag auf der Agenda, aber das Programm war da noch nicht \u00f6ffentlich freigegeben.<\/p>\n

Was ist der AdwCleaner?<\/h2>\n

Wenn nach Installation einer Software pl\u00f6tzlich merkw\u00fcrdige oder ungewollte Werbung angezeigt wird oder ungewollte Programme unter Windows vorhanden sind, hat m\u00f6glicher Adware zugeschlagen. Von dieser wurden diese ungewollten Funktionen installiert. Um das System von diesem Beif\u00e4ngen zu bereinigen, ist das f\u00fcr private Nutzung kostenloses Tool AdwCleaner des Anbieters Malwarebytes gedacht.<\/p>\n

\"AdwCleaner<\/p>\n

\"\"Der AdwCleaner fordert beim Start unter Windows administrative Berechtigungen per Benutzerkontensteuerung an und meldet sich mit obigem Fenster. \u00dcber Jetzt scannen <\/em>l\u00e4sst sich das Windows-Systeme scannen und von unerw\u00fcnschter Adware bereinigen.<\/p>\n

Das Programm kann Adware in Quarant\u00e4ne verschieben, erzeugt eine Logdatei des Scans und besitzt eine Reihe Einstelloptionen (siehe folgende Abbildung).<\/p>\n

\"AdwCleaner<\/p>\n

So gibt es auch Optionen, um grundlegende Reparaturen an Windows (Firewall, BITS etc.) auszuf\u00fchren. Standardm\u00e4\u00dfig erfolgt der Abgleich mit einer Datenbank in der Cloud, wobei diese Option aber abschaltbar ist. Zudem lassen sich Ausschl\u00fcsse f\u00fcr Software definieren \u2013 m\u00f6glicherweise hilft das bei den von Blog-Leser Dekre in diesem Kommentar<\/a> angesprochenen Problemen.<\/p>\n

Ich hatte vor einigen Tagen im Blog-Beitrag Malwarebytes AdwCleaner 8.0<\/a> berichtet, dass eine neue Version verf\u00fcgbar sei. In diesem Beitrag hatte ich auch einige Hinweise zum Download gegeben und angerissen, dass das Tool m\u00f6glicherweise ein Sicherheitsrisiko im Beipack mitbringt. Doch dazu sp\u00e4ter mehr.<\/p>\n

Dll-Hijacking-Schwachstelle bis Version 8.0.0<\/h2>\n

Beim Schreiben meines Blog-Beitrag Malwarebytes AdwCleaner 8.0<\/a> bin ich aber (war ein Zufallsfund) auf eine Sicherheitsl\u00fccke bei diesem Tool gesto\u00dfen, die mich von einer Benutzung abgehalten h\u00e4tte. Der AdwCleaner installiert zwar nichts, sondern wird nur per .exe-Datei gestartet. Das Programm fordert aber Administratorberechtigungen an, um die Bereinigung von Adware durchf\u00fchren zu k\u00f6nnen.<\/p>\n

Aus diesem Grund lasse ich solche Tools standardm\u00e4\u00dfig \u00fcber ein Testbett laufen, um festzustellen, ob sogenannte DLL-Hijacking-Schachstellen existieren. Das hei\u00dft, die Software ruft beim Start oder beim Betrieb bestimmte DLL-Dateien (meist aus Windows) auf. Passt der Entwickler nicht auf, und ignoriert er, wie Windows nach DLL-Dateien sucht, werden diese DLL-Bibliotheken aber im Ordner, aus dem das Programm aufgerufen wurde gesucht.<\/p>\n

Das bedeutet, beim mit administrativen Berechtigungen laufenden, AdwCleaner, dass der Code aus den nachgeladenen DLL-Dateien ebenfalls als Prozess mit administrativen Berechtigungen ausgef\u00fchrt wird. Normalerweise geht das gut, da Windows die DLL-Dateien im Ordner des Programms nicht findet und dann in den Windows-Ordnern sucht. Wei\u00df eine Malware aber, dass ein Tool eine DLL-Hijacking-Schwachstelle f\u00fcr bestimmte DLLs aufweist, braucht diese lediglich eine Datei gleichen Namens im Ordner mit der Anwendung abzulegen. Bei AdwCleaner d\u00fcrfte das meist der Ordner Downloads <\/em>sein.<\/p>\n

F\u00fchrt der Benutzer dann den AdwCleaner aus, fordert das Tool administrative Berechtigungen an. Der Benutzer wird diese erteilen, da er ja sein System von Junkware bereinigen will. Hatte eine Malware Gelegenheit, eine manipulierte DLL-Datei im AdwCleaner-Ordner abzulegen, w\u00fcrde diese geladen. Es findet dann ein DLL-Hijacking statt und die manipulierte DLL erh\u00e4lt quasi im Huckepack \u00fcber den AdwCleaner administrative Berechtigungen. K\u00f6nnte man als Privilege Escalation-Schwachstelle ansehen.<\/p>\n

\"Warnung:<\/p>\n

Als ich die Version des AdwCleaner adwcleaner_8.0.0.exe<\/em> in meinem Testbett ausf\u00fchrte, erschien bei einigen DLLs eine Warnung. Die obige Warnung zeigt eine DLL, die beim Laden anf\u00e4llig f\u00fcr DLL-Hijacking ist. Es gab in AdwCleaner 8.0.0 gleich mehrere DLLs, die auffielen.<\/p>\n

Das Testbett wird \u00fcbrigens von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei Forward.cab<\/a> von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine Sentinel.exe<\/a>, die auch in diesen Ordner wandert.<\/p>\n

Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausf\u00fchrung laden. Dann sollte ein Virenscanner anschlagen.<\/p>\n

Sp\u00e4ter kopiert man die zu testende Software in den Ordner des Testbetts und f\u00fchrt diese aus. Gibt es Alarme wie in obigem Screenshot gezeigt, liegt eine DLL-Hijacking-Schwachstelle vor. Ich habe hier im Blog ja bereits vor mehreren Tools mit solchen Schwachstellen gewarnt, meist n\u00fctzt das nichts oder ich fange mir geharnischte Kommentare ein, wieso ich so etwas publiziere und ich k\u00f6nne es ja besser machen.<\/p>\n

Meine pers\u00f6nliche Einsch\u00e4tzung der Schwachstelle ist, dass diese 'mittelkritisch' ist. Doof ist, dass die Schwachstelle eine Rechteausweitung erm\u00f6glicht. Allerdings konnte ein Benutzer die Ausnutzung leicht umgehen, indem er die AdwCleaner.exe vor deren Ausf\u00fchrung in einen eigenen, leeren Ordner kopiert. Dann l\u00e4uft ein DLL-Hijacking-Angriff ins Leere.<\/p><\/blockquote>\n

Im aktuellen Fall habe ich dann am 10. Dezember 2019 die Pressestelle von Malwarebytes \u00fcber den gefundenen Sachverhalt informiert. Am gleichen Tag meldete sich der Entwickler, der den AdwCleaner urspr\u00fcnglich mal erstellt hat und versprach sich zu k\u00fcmmern.<\/p>\n

Am 11. Dezember 2019 erhielt ich eine Testversion mit dem AdwCleaner 8.0.1.exe, in der diese Schwachstelle angeblich gefixt war. Ein weiterer Test von mir ergab, dass dem nicht der Fall war, was ich dann auch meldete und die Entwickler auf die Schritte zum Erstellen des Testbetts hinwies. Am Freitag, den 12. Dezember 2019 bekam ich dann Zugriff auf eine Vorabversion, in der ich im Testbett keine DLL-Hijacking-Angreifbarkeit mehr feststellte. Nach R\u00fccksprache mit dem Entwickler k\u00fcndigte dieser die Freigabe zum 12. Dezember 2019 (am sp\u00e4ten Abend Pariser Zeit) an. AdwCleaner ist ein Zukauf von Malwarebytes und ein Teil der Entwickler sitzt wohl in Frankreich.<\/p>\n

An dieser Stelle muss ich zwei Sachen erw\u00e4hnen. Stefan Kanthak teilte mir bei einem Kontakt mit, dass er diese Schwachstelle vor 3 Jahren bereits gemeldet habe, ohne dass was passiert sei. An dieser Stelle mein Dank an Stefan, der mir in der Vergangenheit immer mal wieder Hinweise auf solche Schwachstellen und auf das Testbett gab \u2013 ohne diesen Support h\u00e4tte ich das Ganze niemals gefunden.<\/p>\n

Nachdem ich mit dem Entwickler in Kontakt stand, hat dieser sehr schnell reagiert und die Software nach einigen Zusatzhinweisen im Hinblick auf die DLL-Hijacking-Problematik \u00fcberarbeitet. Zudem hatte ich die Kritik von Blog-Leser Dekre im Hinblick auf unzul\u00e4ngliche Einstellungen beim Scan erw\u00e4hnt. In der Version 8.0.1 wurden auch diesbez\u00fcglich Verbesserungen vorgenommen (ob ausreichend, wei\u00df ich nicht). Es wurde der Schwachstelle bisher zwar keine CVE-Nummer zugewiesen, aber diese ist beseitigt. Von daher auch ein Lob an den Entwickler J\u00e9r\u00f4me Boursier f\u00fcr die schnelle Reaktion.<\/p><\/blockquote>\n

Malwarebytes AdwCleaner 8.0.1 freigegeben<\/h2>\n

Seit Ver\u00f6ffentlichung des Beitrags Malwarebytes AdwCleaner 8.0<\/a> wartete ich auf die Freigabe der korrigierten Version 8.0.1. Gestern informierte mich Lawrence Abrams von Bleeping Computer, dass diese Version freigegeben worden sei. Abrams kennt den Entwickler J\u00e9r\u00f4me Boursier und hatte mir seine Vermittlung beim DLL-Hijacking-Thema angeboten (was aber nicht erforderlich wurde).<\/p>\n

Gestern Abend informierte AdwCleaner-Entwickler J\u00e9r\u00f4me Boursier mich dann bei einem weiteren Kontakt ebenfalls \u00fcber die offizielle Freigabe der Version 8.0.1 und erw\u00e4hnte, dass er das Release im Forum angek\u00fcndigt<\/a> habe.<\/p>\n

We are pleased to share the new AdwCleaner 8.0.1!<\/p>\n

In line to the improvements made in AdwCleaner 8, we've been pushing towards improving detection and remediation capabilities, and this time we focused on Mozilla Firefox. We completely rewrote the way we scan and clean Firefox addons, preferences, search engines, start pages, etc.. This allows to reduce the technology debt, to have a more maintainable codebase, and to gain in detection rate and remediation effectiveness.<\/p>\n

On top of this major change, we fixed a security vulnerability reported by G\u00fcnter Born. AdwCleaner 7.0 up to 8.0.1 are vulnerable to DLL hijacking. This has now been fixed. We are very grateful for the report, and we encourage everyone to report us any vulnerabilities in AdwCleaner. We will study them and depending on the severity, act accordingly.<\/p>\n

This is the last release of 2019. We hope to keep our newly found pace in 2020 to improve quality, speed, and detection rate!<\/p><\/blockquote>\n

Der Forenbeitrag mit den Release-Notes enth\u00e4lt auch einen detaillierteren Changelog:<\/p>\n

Detailled changelog:<\/p>\n

## v8.0.1 [18\/12\/2019]<\/p>\n

### New Features<\/p>\n

– Re-Implement Firefox module. It now properly supports detecting and removing extensions, startpage, searchengines, preferences…<\/p>\n

### Changes<\/p>\n

– Hide debug output
\n– Update telemetry internals.
\n– Update definitions to 2019.12.17.1<\/p>\n

### Bugfixes<\/p>\n

– Fix a DLL Hijacking vulnerability in AdwCleaner 7.0+, reported by G\u00fcnter Born.<\/p><\/blockquote>\n

Es sind wohl einige Verbesserungen erfolgt und die von mir gemeldete DLL-Hijacking-Schwachstelle wurde beseitigt. Es ist voraussichtlich die letzte Version des AdwCleaner in 2019.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMalwarebytes AdwCleaner 8.0<\/a>
\nDLL-Hijacking in Autodesk, Trend Micro, Kaspersky<\/a>
\nMcAfee patcht Schwachstelle in Antivirus-Produkten<\/a>
\nSchwere Sicherheitsl\u00fccke in Dells PC-Doctor-Assistant<\/a>
\n7-Zip Version 19.00 freigegeben<\/a>
\nWindows-Tool UserBenchMark \u2013 Finger eher davon lassen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 18.12.2019 ist das Tool AdwCleaner 8.0.1 von Malwarebytes freigegebenen worden. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-226254","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226254"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226254\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}