{"id":300592,"date":"2024-09-01T00:01:00","date_gmt":"2024-08-31T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300592"},"modified":"2024-09-01T11:04:43","modified_gmt":"2024-09-01T09:04:43","slug":"windows-side-loading-dll-angriffe-ber-licensingdiag-exe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/01\/windows-side-loading-dll-angriffe-ber-licensingdiag-exe\/","title":{"rendered":"Windows: Side-Loading DLL-Angriffe über licensingdiag.exe?"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich kippe mal wieder eine Information hier im Blog ein, \u00fcber die ich die Tage gestolpert bin. Wer sich um den Punkt Windows-Sicherheit Gedanken macht, sollte das Befehlszeilentool licensingdiag.exe <\/em>im Fokus behalten. Es ist ein weiteres \"living of the land\" Tool, welches f\u00fcr Side-Loading DLL-Angriffe genutzt werden kann. Denn es gibt in der Registrierung einen Eintrag, der angibt, welche DLL aus welchem Pfad zu laden ist.<\/p>\n

<\/p>\n

\"\"Dynamic-Link-Library (DLL) Side-Loading ist eine Methode f\u00fcr Cyber-Angriffe, die sich die Art und Weise zunutze macht, wie Microsoft Windows-Anwendungen mit DLL-Dateien umgehen. Bei solchen Angriffen platziert Malware eine gef\u00e4lschte b\u00f6sartige DLL-Datei in einem WinSxS-Verzeichnis von Windows, so dass das Betriebssystem diese anstelle der legitimen Datei l\u00e4dt. Mandiant befasst sich beispielsweise in diesem PDF-Dokument<\/a> mit dieser Thematik. Es gibt aber weitere M\u00f6glichkeiten, das Laden einer DLL zu manipulieren.<\/p>\n

Grzegorz Tworek hat die Tage nachfolgenden Tweet auf X ver\u00f6ffentlicht. Dort weist er darauf hin, dass das in Windows enthaltene Befehlszeilentool licensingdiag.exe <\/em>eine M\u00f6glichkeit f\u00fcr Angriffe bietet. Weil das Tool in Windows enthalten ist, spricht man auch von \"living of the land\"-Angriffen.<\/p>\n

\"DLL<\/a><\/p>\n

In der Registrierung von Windows gibt es f\u00fcr die integrierte Anwendung licensingdiag.exe <\/em>den Registrierungseintrag:<\/p>\n

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\LicensingDiag<\/p>\n

wo der REG_SZ-Wert den Pfad zur ausf\u00fchrenden DLL (hier LicensingDiagSpp.dll<\/em>) enth\u00e4lt. Gelingt es einem Angreifer, den Registrierungseintrag zu manipulieren (HKLM erfordert Administratorrechte), ist die B\u00fcchse der Pandora ge\u00f6ffnet.<\/p>\n

<\/p>\n

Ein Angreifer k\u00f6nnte dann einen Pfad auf eine eigene DLL hinterlegen, die dann beim Aufruf der Konsolenanwendung licensingdiag.exe <\/em>ausgef\u00fchrt wird. \u00c4ndert der Angreifer den Wert in REG_EXPAND_SZ, lie\u00dfen sich gleich mehrere DLLs zum Aufrufen angeboten (ob das mit licensingdiag.exe <\/em>klappt, sei dahin gestellt).Anwendung laden.<\/p>\n

Einziger Schutz ist, dass die Manipulation Administratorrechte ben\u00f6tigt. Es w\u00e4re aber ein weiterer Weg, wie Angreifer sich hinter legitimen Windows-Anwendungen verstecken und b\u00f6sartige DLLs per Side-Loading nachladen und ausf\u00fchren k\u00f6nnen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAdwCleaner 8.0.6 schlie\u00dft erneut DLL-Hijacking-Schwachstelle<\/a>
\nDie Nirsoft-Tools und die DLL-Hijacking-Schwachstellen<\/a>
\nMicrosoft fixt DLL-Hijacking-Schwachstelle in Store-App Telemetrie-Wrapper-Installer<\/a>
\nCicada: Chinesische Hacker missbrauchen u.a. den VLC Player per DLL-Side-Loading f\u00fcr Spionage<\/a>
\nAppLocker mit #squiblydoo COM Hijacking aushebeln?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich kippe mal wieder eine Information hier im Blog ein, \u00fcber die ich die Tage gestolpert bin. Wer sich um den Punkt Windows-Sicherheit Gedanken macht, sollte das Befehlszeilentool licensingdiag.exe im Fokus behalten. Es ist ein weiteres \"living of the land\" … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-300592","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300592","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300592"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300592\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300592"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300592"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300592"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}