James Steidl - Fotolia

F

Wie kritisch sind DLL-Schwachstellen für Unternehmen?

DLL-Schwachstellen werden häufig als nicht sehr kritisch eingestuft. Doch welche Risiken können diese Sicherheitslücken tatsächlich mit sich bringen?

Symantec hat Ende 2016 vor einer DLL-Schwachstelle in einigen seiner Produkte gewarnt. Davon waren auch Produkte betroffen, die in Unternehmen zum Einsatz kommen. DLL-Code-Schwachstellen gelten im Allgemeinen als nicht allzu ernste Bedrohung für Unternehmen. Was ist in diesem Fall das Problem und warum wurde die Schwachstelle auf einem hohen Schweregrad eingestuft?

Die Schwachstelle erlaubte es Angreifern, ihren Opfern bösartige DLLs unterzujubeln. Der Fehler wurde von einem Symantec Sicherheitsanalyst unter anderem in den Produkten IT Management Suite 8.0, Ghost Solutions Suite 3.1 und Endpoint Virtualization 7.x entdeckt. Nach Angaben von Symantec verwenden die betroffenen Produkte beim Bootvorgang keinen absoluten Pfad beim Laden der DLL-Dateien.

Eine Dynamic Link Library (DLL) enthält Code sowie Daten und kann von mehreren Anwendungen gleichzeitig genutzt werden. Genau wie ausführbare Dateien können DLL-Dateien Code, Daten und auch Ressourcen wie Bilder enthalten, aber sie können von mehr als einem Programm gleichzeitig verwendet werden.

Die Verwendung gemeinsam genutzter Bibliotheken bringt eine ganze Reihe von Vorteilen mit sich: Code kann wiederverwendet werden, Speicherplatz wird reduziert, die Nutzung des Arbeitsspeichers ist effizienter, Ladezeiten verkürzen sich und Entwickler können modular arbeiten. Versucht eine Anwendung jedoch eine DLL zu laden, ohne dass ein vollständiger absoluter Pfad angegeben wird, versucht Windows die Datei zu finden. Dabei wird ein genau definierter Satz an Verzeichnissen durchsucht.

Angreifer können Code ausführen

Gelingt es einem Angreifer nun in eine manipulierte Version der DLL-Datei in eines dieser Verzeichnisse zu kopieren, lädt die Anwendung unter Umständen diese Datei anstelle der originären. Damit kann der Angreifer Code im Kontext des aktuellen Benutzers beziehungsweise der Anwendung, sprich mit dessen oder deren Rechten, ausführen. Wird genau diese Anwendung als Administrator ausgeführt, kann das zu einer lokalen Rechteerhöhung führen.

Viele Experten stufen derartige DLL-Schwachstellen als geringes Risiko ein. Dennoch klassifizierte Symantec das als CVE-2016-6590 gelistete Problem als ein hohes Risiko basierend auf der neuen CVSS-Einstufung. CVSS verwendet einen Algorithmus, um unterschiedliche Werte für den Schweregrad einer Sicherheitslücke zu ermitteln.

Das diese Sicherheitsanfälligkeit zu einer Codeausführung durch den Angreifer führen kann, ist einer der wesentlichen Gründe der zur entsprechenden Einstufung dieser Schwachstelle geführt hat. Dies obwohl der Angreifer das Opfer erst dazu bringen muss, eine manipulierte Website zu besuchen oder auf einen Link in einer E-Mail zu klicken, um die präparierte DLL auf sein System zu laden.

Microsoft hat schon vor einigen Jahren Informationen zum sicheren Umgang und Laden von DLLs im MSDN veröffentlicht. Offensichtlich wurden diese bei Symantec nicht berücksichtigt. Inzwischen hat Symantec Updates veröffentlicht, die das Problem beheben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Cross Site Scripting: Das sollten Unternehmen über die Schwachstellen wissen

Die am häufigsten ausgenutzten Software-Schwachstellen

Einsatzszenarien für das Schwachstellen-Management

System und Anwendungen gegen Attacken schützen

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close