{"id":295188,"date":"2024-05-11T00:08:00","date_gmt":"2024-05-10T22:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295188"},"modified":"2024-05-10T15:36:41","modified_gmt":"2024-05-10T13:36:41","slug":"microsoft-fixt-dll-hijacking-schwachstelle-in-store-app-telemetrie-wrapper-installer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/11\/microsoft-fixt-dll-hijacking-schwachstelle-in-store-app-telemetrie-wrapper-installer\/","title":{"rendered":"Microsoft fixt DLL-Hijacking-Schwachstelle in Store-App Telemetrie-Wrapper-Installer"},"content":{"rendered":"

\"Windows\"[English]Microsoft hat damit vor einiger Zeit seine Store-Apps mit einem neuen Installer versehen. Dieser enth\u00e4lt einen ausf\u00fchrbaren .NET-Wrapper der Telemetrie und weiteren Code in die App integriert. In der ersten Version wies dieser .NET-Wrapper aber eine DLL-Hijacking-Schwachstelle auf, die ich hier im Blog dokumentiert hatte. Nun ist mir die Information zugegangen, dass Microsoft die DLL-Hijacking-Schwachstelle beseitigt habe.<\/p>\n

<\/p>\n

Store-Apps mit Telemetrie-Wrapper<\/h2>\n

\"\"Entwickler Rafael Rivera war aufgefallen, dass seine Store-App EarTrumpet im April 2024 pl\u00f6tzlich mit einem neuen .NET-Wrapper versehen worden war und mit einem entsprechenden Installer ausgeliefert wurde. <\/p>\n

\"Microsoft<\/a> <\/p>\n

Der technische Hintergrund ist, dass Microsoft ein Store-Installationsprogramme f\u00fcr das Web eingef\u00fchrt hat, welches eine neue und optimierte M\u00f6glichkeit bietet, Store-Anwendungen direkt von apps.microsoft.com <\/em>aus zu installieren. Ich hatte diesen Sachverhalt im Blog-Beitrag Microsoft packt Store-Apps mit Telemetrie-Wrapper<\/a> aufgegriffen. <\/p>\n

Das DLL-Hijacking-Problem<\/h2>\n<\/p>\n

Es war das alte Problem: Die Entwickler haben sich auf die Standardvorgaben von Windows verlassen und mit dem Store-Installer eine Sicherheitsl\u00fccke aufgerissen. Der App-Installer-Wrapper enthielt einen DLL-Hijacking-Helper, der das Einschleusen von Malware erm\u00f6glichte. Ein Angreifer muss im Download-Ordner lediglich eigene Dateien der Art ncrypt.dll, cryptsp.dll, cryptbase.dll, bcrypt.dll, msvcp140_clr0400.dll, profapi.dll, en\\StoreInstaller.resources.dll, d3d9.dll<\/em>, etc. ablegen und warten. Sobald der Installer ausgef\u00fchrt wird, l\u00e4dt dieser die betreffenden DLLs.<\/p>\n

\"Microsoft's<\/a> <\/p>\n

Das Ganze ist unter dem Begriff DLL-Hijacking bekannt: Windows sucht im Ordner des ausgef\u00fchrten Programms und in bestimmten Pfaden nach den angegebenen DLL-Bibliotheksdateien. Erst wenn diese dort nichts gefunden werden, schaut Windows in den eigenen Systemordnern nach und l\u00e4dt die Bibliotheken. Ich hatte die Details im Blog-Beitrag Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle<\/a> aufgegriffen.<\/p>\n

Microsoft korrigiert des Problem<\/h2>\n

Nachdem Entwickler Rafael Rivera das Thema auf X in Tweets aufgegriffen und Sicherheitsforscher wie Will Dormann dar\u00fcber berichtet haben, sind die Microsoft-Entwickler wohl erneut in sich gegangen. Denn man kann durchaus im Programm angeben, dass die Anwendung gezielt in den Windows-Ordnern nach den ben\u00f6tigten DLLs schaut und nicht die Standardvorgaben des Betriebssystems verwendet. <\/p>\n

\"Microsoft's<\/a><\/p>\n

Die Tage habe ich einen Tweet<\/a> von Rafael Rivera gesehen, der berichtet, dass Microsoft in aller Stille seine App-Installationsdatei \u00fcberarbeitet habe. Der Suchpfad f\u00fcr die DLL wurde so ge\u00e4ndert, dass ein DLL-Hijacking nicht mehr funktioniert. Weiterhin sei ein neues Symbol hinzugef\u00fcgt worden etc. Riviera hat bisher keine R\u00fcckmeldung des Microsoft Team im Hinblick auf diese \u00c4nderung, obwohl er die Leute kontaktiert hatte, nachdem er auf die DLL-Hijacking-Schwachstelle gesto\u00dfen war.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
Microsoft packt Store-Apps mit Telemetrie-Wrapper<\/a>
Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat damit vor einiger Zeit seine Store-Apps mit einem neuen Installer versehen. Dieser enth\u00e4lt einen ausf\u00fchrbaren .NET-Wrapper der Telemetrie und weiteren Code in die App integriert. In der ersten Version wies dieser .NET-Wrapper aber eine DLL-Hijacking-Schwachstelle auf, die ich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426,301],"tags":[4346,3188,4328,4325],"class_list":["post-295188","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","category-windows","tag-app","tag-fix","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295188"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295188\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}