{"id":230397,"date":"2020-04-04T00:17:00","date_gmt":"2020-04-03T22:17:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230397"},"modified":"2020-04-03T22:18:27","modified_gmt":"2020-04-03T20:18:27","slug":"adwcleaner-8-0-4-schliet-neue-dll-hijacking-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/04\/adwcleaner-8-0-4-schliet-neue-dll-hijacking-schwachstelle\/","title":{"rendered":"AdwCleaner 8.0.4 schließt neue DLL-Hijacking-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Zum 3.04.2020 hat Malwarebytes das Tool AdwCleaner 8.0.4 freigegebenen. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle.<\/p>\n

<\/p>\n

\"\"Ich hatte ja im Dezember 2019 bereits den Blog-Beitrag AdwCleaner 8.0.1 schlie\u00dft DLL-Hijacking-Schwachstelle<\/a> hier im Blog. Dieser befasste sich mit einer DLL-Hijacking-Schwachstelle in diesem Tool. Dort finden sich auch Hinweise, was der AdwCleaner so macht. <\/p>\n<\/p>\n

\"AdwCleaner <\/p>\n

Erneut DLL-Hijacking-Schwachstelle in AdwCleaner 8.0.3 <\/h2>\n

K\u00fcrzlich hatte ich im Internet gesehen, dass es den AdwCleaner 8.0.3 gibt. Aus einem Impuls heraus habe ich diese Version heruntergeladen und dann \u00fcber mein Testbett laufen lassen. Der AdwCleaner braucht ja nicht installiert zu werden, fordert aber beim Start administrative Berechtigungen. Der Benutzer wird diese erteilen, da er ja sein System von Junkware bereinigen will.<\/p>\n

\"DLL-Hijacking-Schwachstelle<\/p>\n

Bereits beim Start des Programms wurde mir \u00fcber das obige Dialogfeld mitgeteilt, dass diese Version 8.0.3 des AdwCleaner f\u00fcr DLL-Hijacking anf\u00e4llig sei. Das bedeutet, dass alle vom AdwCleaner nachgeladenen DLL-Dateien ebenfalls als Prozess mit administrativen Berechtigungen ausgef\u00fchrt werden. <\/p>\n

Normalerweise geht das gut, da Windows die DLL-Dateien im Ordner des Programms nicht findet und dann in den Windows-Ordnern sucht. Wei\u00df eine Malware aber, dass ein Tool eine DLL-Hijacking-Schwachstelle f\u00fcr bestimmte DLLs aufweist, braucht diese lediglich eine Datei gleichen Namens im Ordner mit der Anwendung abzulegen. Bei AdwCleaner d\u00fcrfte das meist der Ordner Downloads <\/em>sein. Dann wird diese DLL anstelle der Windows-DLL geladen (Hijacking).  <\/p>\n

\n

Das Testbett wird von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei Forward.cab<\/a> von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine Sentinel.exe<\/a>, die auch in diesen Ordner wandert. <\/p>\n

Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausf\u00fchrung laden. Dann sollte ein Virenscanner anschlagen.<\/p>\n<\/blockquote>\n

Der Entwickler reagiert sofort<\/h2>\n

Da ich bereits wegen der gleichen Problematik beim AdwCleaner 8.0.0 in Kontakt stand, und das Problem mit der Version 8.0.1 behoben wurde, habe ich ihm eine Mail geschickt. Es dauerte zwar ca. 14 Tage, bis zur Antwort. Hintergrund war aber ein Urlaub des Entwicklers. Gestern hat mich der Entwickler informiert, dass der AdwCleaner 8.0.4 mit einem Bug-Fix freigegeben wurde. Im Changelog, der hier ver\u00f6ffentlicht<\/a> wird, finden sich folgende Hinweise:<\/p>\n

\n

We are pleased to release AdwCleaner 8.0.4! <\/p>\n

This versions is purely focused on maintenance to fix a bug that got reintroduced. The CVE number is pending assignment, this post will be updated when delivered. <\/p>\n

We updated the test suite to avoid this to happen again. <\/p>\n

See the full changelog below:<\/p>\n

## v8.0.4 [03\/04\/2020]<\/p>\n

### Changes
* Update definitions to 2020.04.03.1<\/p>\n

### Bugfixes
* Fix reintroduction of DLL loading vulnerability reintroduced in 8.0.3. CVE assignation pending.<\/p>\n<\/blockquote>\n

Der Download des AdwCleaner 8.0.4 ist auf dieser Webseite<\/a> m\u00f6glich. <\/strong>Ich habe nat\u00fcrlich diese Version nach dem Download im Testbett ablaufen lassen. Die DLL-Hijacking-Schwachstelle wurde beseitigt. Keine Ahnung, was bei denen schief gelaufen ist, dass die alte Schwachstelle in der Version 8.0.3 wird in das Tool Eingang fand. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Malwarebytes AdwCleaner 8.0<\/a>
AdwCleaner 8.0.1 schlie\u00dft DLL-Hijacking-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 3.04.2020 hat Malwarebytes das Tool AdwCleaner 8.0.4 freigegebenen. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-230397","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230397"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230397\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}