{"id":233055,"date":"2020-07-03T00:03:00","date_gmt":"2020-07-02T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=233055"},"modified":"2020-07-03T02:35:44","modified_gmt":"2020-07-03T00:35:44","slug":"adwcleaner-8-0-6-schliet-erneut-dll-hijacking-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/03\/adwcleaner-8-0-6-schliet-erneut-dll-hijacking-schwachstelle\/","title":{"rendered":"AdwCleaner 8.0.6 schließt erneut DLL-Hijacking-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Die Tage hat Malwarebytes das Tool AdwCleaner 8.0.6 freigegebenen. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.5.<\/p>\n

<\/p>\n

Eine unendliche Geschichte des AdwCleaner<\/h2>\n

\"\"Ich bin nicht Michael Ende, aber das Ganze mit DLL-Hijacking im AdwCleaner entwickelt sich zu einer unendlichen Geschichte der Zeit. Ich hatte erstmals im Dezember 2019 den Blog-Beitrag AdwCleaner 8.0.1 schlie\u00dft DLL-Hijacking-Schwachstelle<\/a> hier im Blog. Dieser befasste sich mit einer DLL-Hijacking-Schwachstelle in diesem Tool. Dort finden sich auch Hinweise, was der AdwCleaner so macht. Die Schwachstelle hatte ich an Malwarebytes gemeldet und stand seit dieser Zeit mit einem der Entwickler in Kontakt. Die sind willig und f\u00e4hig, diese Schwachstelle im kostenlosen AdwCleaner zu beseitigen.<\/p>\n

\"AdwCleaner\"<\/p>\n

Leider war die DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.3 wieder zur\u00fcck. Das hatte ich im Blog-Beitrag AdwCleaner 8.0.4 schlie\u00dft neue DLL-Hijacking-Schwachstelle<\/a> angesprochen.<\/p>\n

Erneut DLL-Hijacking-Schwachstelle in AdwCleaner 8.0.5<\/h2>\n

Vor einigen Wochen stie\u00df ich zuf\u00e4llig auf einer der US-Seiten (wei\u00df nicht, ob es Bleeping Computer, Neowin oder MS Power User war) auf einen Link, \u00fcber den der AdwCleaner 8.0.5 angeboten wurde. Also habe ich diese Version heruntergeladen und \u00fcber mein Testbett laufen lassen.<\/p>\n

Der AdwCleaner braucht ja nicht installiert zu werden, fordert aber beim Start administrative Berechtigungen. Der Benutzer wird diese erteilen, da er ja sein System von Junkware bereinigen will.<\/p>\n

\"DLL-Hijacking-Schwachstelle<\/p>\n

Bereits beim Start des Programms wurde mir \u00fcber das obige Dialogfeld mitgeteilt, dass die Version 8.0.5 des AdwCleaner f\u00fcr DLL-Hijacking anf\u00e4llig sei. Das bedeutet, dass alle vom AdwCleaner nachgeladenen DLL-Dateien ebenfalls als Prozess mit administrativen Berechtigungen ausgef\u00fchrt werden. Wei\u00df eine Malware, dass ein Tool eine DLL-Hijacking-Schwachstelle f\u00fcr bestimmte DLLs aufweist, braucht diese lediglich eine Datei gleichen Namens im Ordner mit der Anwendung abzulegen. Bei AdwCleaner d\u00fcrfte das meist der Ordner Downloads <\/em>sein. Dann wird diese DLL anstelle der Windows-DLL geladen (Hijacking).<\/p>\n

Das Testbett wird von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei Forward.cab<\/a> von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine Sentinel.exe<\/a>, die auch in diesen Ordner wandert.<\/p>\n

Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausf\u00fchrung laden. Dann sollte ein Virenscanner anschlagen.<\/p><\/blockquote>\n

Der Entwickler reagiert sofort<\/h2>\n

Da ich bereits wegen der gleichen Problematik zwei Mal mit dem Entwickler bei Malwarebytes Kontakt stand, und das Problem immer wieder behoben wurde, habe ich ihm eine Mail geschickt. Dort habe ich deutlich nachgehakt, warum alle zweite Version des AdwCleaner mit DLL-Hijacking-Schwachstelle kommt. Der Entwickler versprach sich zu k\u00fcmmern und sicherzustellen, dass sich dieser Fehler in neuen Builds nicht wiederholt. Gut, der Entwickler versprach auch, mich bei Verf\u00fcgbarkeit des AdwCleaner 8.0.6 zu informieren \u2013 auf die Mail warte ich noch heute.<\/p>\n

Addendum:<\/strong> Lawrence Abrams von Bleeping Computer at \u00fcbrigens vor wenigen Stunden diesen Artikel<\/a> ver\u00f6ffentlicht. Dieser beschreibt, wie der AdwCleaner 8.0.6 nun Malware diekt von der Befehlszeile entfernen kann.<\/p><\/blockquote>\n

Gestern Abend ist mir die Idee gekommen, einfach mal nachzuschauen, ob diese Version bereits freigegeben wurde und einen Test laufen zu lassen. Der AdwCleaner 8.0.6 wird aktuell auf dieser Malwarebytes-Webseite<\/a> zum gratis Download angeboten. Ein Test ergab, dass die DLL-Hijacking-Schwachstelle wieder einmal beseitigt ist.<\/p>\n

Der AdwCleaner 8.0.6 muss laut diesem Foreneintrag<\/a> am 1. Juli 2020 Abends ver\u00f6ffentlicht worden sein. Das Ganze ist also noch frisch. Falls wer das Tool einsetzt, sollte er sich die neueste Version 8.0.6 besorgen. Im Foreneintrag ist \u00fcbrigens beschrieben, was sich an der neuen Version des Tools \u00e4nderte.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMalwarebytes AdwCleaner 8.0<\/a>
\nAdwCleaner 8.0.1 schlie\u00dft DLL-Hijacking-Schwachstelle<\/a>
\nAdwCleaner 8.0.4 schlie\u00dft neue DLL-Hijacking-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Tage hat Malwarebytes das Tool AdwCleaner 8.0.6 freigegebenen. Das Update schlie\u00dft eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.5.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[3992,8111,4328],"class_list":["post-233055","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-adwcleaner","tag-dll","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=233055"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/233055\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=233055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=233055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=233055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}