Websicherheit.org

Es ist etwas ruhig geworden, was die Meldungen der DLL-Sicherheitslücke betrifft.
Trotzdem werden immer noch Anwendungen bei Secunia ein gekippt, welche von dieser Lücke betroffen sind.
Da die Auflistung von Secunia mittlerweile 115 betroffene Anwendungen aufzeigt, diese allerdings etwas unübersichtlich ist und darüber hinaus keine komfortable Anzeige bietet, welche Anwendungen nun mittlerweile gepatched sind, habe ich eine Auflistung (ZIP mit HTML- und XLS-Datei) erstellt, welche Anwendungen betroffen sind, und wie der derzeitige Status (rot=ungepatched – grün=gepatched) ist.

Die Liste hat den Stand 25.09.2010 und ich werde versuchen, diese in regelmäßigen Abständen zu aktualisieren.

Update 1:
Eine neue Liste mit dem Stand 17.10.2010 steht hier zum Download bereit.
Im Monat September waren 115 Anwendungen von dieser Sicherheitslücke betroffen, von denen 16 Anwendungen behoben wurden.
Aktuell sind 128 Anwendungen betroffen. Die Anzahl der Anwendungen, die gepatched wurden, haben sich nicht erhöht.

Update 2:
Ich habe für den November die Updates etwas schleifen lassen, aber nun gibt es eine aktualisierte Liste zum Thema DLL_Sicherheitslücke,
Seit dem 17.10. sind 24 neue Sicherheitslücken hinzugekommen. Damit beträgt die Gesamtanzahl 152 Anwedungen. In der Zwischenzeit wurden in einigen Anwendungen die Sicherheitslücke behoben.
Von den 152 betroffenen Anwendungen sind der 22 gepatched.
Darunter auch die DLL-Sicherheitslücke in MS-Office. Bei andere Microsoft-Anwendungen steht ein Patch allerdings noch aus.
Eine neue Liste mit dem Stand 03.12.2010 steht hier zum Download bereit.

Opera hat die Version 10.62 des Browsers zum Download zur Verfügung gestellt, welche unter anderem die DLL-Sicherheitslücke behebt.

Darüber hinaus wurden einige Fehler des Browsers beseitigt. Eine Übersicht findet man im Opera 10.62 Changelog.

Somit sind nach dieser Secunia-Auflistung alle von der DLL-Lücke betroffenen Browser (incl. Thunderbird ) gepatched.

Kurz und Knapp…
…Golem berichtet hier einleitetend:

Auch EXE-Dateien sind vom sogenannten Binary Planting unter Windows betroffen. Die Reihenfolge der Suchpfade beim Laden von ausführbaren Dateien beginnt in den meisten Fällen im jeweiligen Arbeitsverzeichnis. Im Gegensatz zu DLLs könnte eine schadhafte EXE-Datei mehrfach im System vorkommen. [...]

Quelle: http://www.golem.de/1009/77825.html

Meine Meinung:
Sehr fraglich, ob es sich hier um eine Sicherheitslücke handelt.
Ob nun eine Anwendung oder eine Batch-Datei weiteren (böswilligen) Code in irgendeinem entfernten Verzeichnis (oder Netzlaufwerk) aufruft und dabei keine Plausibilitätsüberprüfung durchführt, mag man vielleicht auch als sträflich vernachlässigten Programmierfehler definieren.
Wenn man Dateien ohne Pfadangabe aufruft dann wird zuerst im Arbeitsverzeichnis gesucht.
Dadurch kann man eine Datei mit dem gleichen Namen wie eine Systemdatei aufrufen bevor die wirkliche Systemdatei aufgerufen wird dadurch kann Schadcode ausgeführt werden.
Und dieser Schadcode muss ja irgendwie auf das System gelangt sein und im Vorfeld eingeschleust worden sein.
Weniger eine Sicherheitslücke im Betriebssystem sondern vielmehr ein Fehlverhalten des Anwenders.

Nachdem es mit dem Workaround Probleme bei den einen oder anderen Programmen gegeben hatte, hat Microsoft nun ein “Fix-it” Tool zur Verfügung gestellt.
Dieses stellt mit seiner Voreinstellung sicher, das Programme wie z.B. Chrome ohne Probleme benutzt werden können.
Außerdem hebt Microsoft auf dieser Seite hervor, das “normale” Internet-Anwender von dieser Sicherheitslücke erst einmal nicht betroffen sind.

This class of vulnerabilities does not enable a “driveby” or “browse-and-get-owned” 0-click attack. To be exploited, a victim would need to browse to a malicious WebDAV server or a malicious SMB server and double-click a file in the Windows Explorer window that the malicious server displays.

Bedeutet: Man muss bei seinen Surf-Aktionen auf einen bösartigen WebDAV- oder SMB-Server Zugriff nehmen, damit diese Sicherheitslücke ausgenutzt werden kann.

In einem Artikel des MSRC wird darüber nachgedacht, das “Fix-it” Tool via Windows-Update auszurollen.

Many enterprise customers have asked us to make it easier for them to deploy this tool. As a result, we are working with the Windows Update (WU) team to add the tool to the WU catalog. This will make it easier for those running Windows Server Update Services (WSUS) to deploy.

Golem.de berichtet hier, das nach dem MS Workaround, welcher in der Knowledge Base 2264107 beschrieben ist einige Spiele und Anwendungen nicht mehr korrekt ausgeführt werden.

Einigen Berichten zufolge funktionieren beim Ausschluss des Arbeitsverzeichnis einige Programme von Microsoft nicht mehr und auch der Steamservice fällt anschließend aus. Zudem soll das Java-Plugin nicht mehr korrekt arbeiten.

Golem war in der Lage, diese Probleme teilweise zu duplizieren.

Eine bessere Übersicht der von der Sicherheitslücke betroffenen Anwendungen gibt es auf corelan.be.
Wie die Bezeichnung der Adresse der Liste aussagt – Es handelt sich hier um eine nicht offizielle Liste und ein Anspruch auf Richtigkeit kann hier nicht gewährleistet werden.

Die ersten Hersteller der von der DLL-Sicherheitslücke betroffenen Programme haben bereits reagiert und fehlerbereinigte Versionen zum Download bereit gestellt.

VLC stellt die Version 1.1.4 zum Download bereit.
Die Entwickler von µTorrent bieten die Version 2.0.4 zum Download an.

Zur besseren Übersicht zu diesem Thema habe ich die Kategorie “DLL-Sicherheitslücke” hinzugefügt, welche eine bessere Übersicht der Thematik im Blog gewährleistet.

Wie eingangs hier berichtet, gibt es erwartungsgemäß einige Updates zu dem Thema.
Wenn man bei Secunia nach dem Begriff “insecure library loading” sucht, dann bekommt man bereits eine ansehnlche Liste der betroffenen Anwendungen angezeigt.
Alles populäre Programme wie zum Beispiel:

• Winamp
• Adobe Illustrator
• avast! Antivirus
• TeamViewer
• Adobe Dreamweaver
• Camtasia Studio
• VLC Media Player
• Adobe Photoshop
• uTorrent
• Wireshark
• Opera
• Mozilla Firefox

Spannend ist, das es bereits Exploits für die eine oder andere betroffene Anwendung gibt. Weitere werden da sicher hinzu kommen.

Die wirklich interessante Frage mag sein, wann Microsoft diese Lücke beheben wird?
Vermutlich gar nicht.
Secunia schreibt in diesem Artikel:

[...] As the core problem is not in Windows, but rather caused by applications loading libraries insecurely (i.e. not supplying a fully qualified path or not initially calling SetDllDirectory() with a blank path), Secunia will not be issuing a general advisory for Windows. Instead, (likely, quite a lot of) advisories will be issued as affected applications are identified. [...]

Und Microsoft schreibt im Security Advisory (2269637):

[...] This issue is caused by applications passing an insufficiently qualified path when loading an external library. Microsoft has issued guidance to developers in the MSDN article, Dynamic-Link Library Security, on how to correctly use the available application programming interfaces to prevent this class of vulnerability. [...]

Heißt zusammenfassend von Microsoft und nach der Einschätzung von Secunia soviel wie:”Wir haben Euch (Entwickler) schon immer gesagt, wie man sichere Anwendungen für Windows programmiert. Besonders hinsichtlich der ‘Dynamic-Link Library Sicherheit’. Jetzt korrigiert das gefälligst. Wir helfen auch gerne dabei”.

Blöd ist dabei nur eines… von dem DLL-Sicherheitsproblem sind auch einige Produkte aus dem Hause Microsoft betroffen:

• Microsoft Windows Address Book
• Microsoft Office Groove
• Microsoft Windows Progman Group Converter
• Microsoft Windows Indeo Filter
• Windows Live Mail
• Microsoft Office PowerPoint

Also wird es von MS doch die entsprechenden Patches geben. Nicht für Windows, jedoch für die entsprechenden Anwendungen.

TechChannel.de berichtet hier, das eine neue Sicherheitslücke in Windows es Angreifern erlaubt, Schadcode in das Sytem einzuschleusen und zur Ausführung zu bringen.
Heise.de hat in diesem Artikel diese Sicherheitslücke etwas genauer beschrieben.
Diese Sicherheitslücke soll sich auch in 40 Anwendungen finden lassen berichtet der Chef des Metasploit-Projekts H D Moore.
Details zu dieser Sicherheitslücke und den betroffenen Anwendungen sind noch nicht bekannt und die Sicherheitslücke wird derzeit von Microsoft untersucht.

Update 1:
TecChannel schreibt, dass die Sicherheitslücke vermutlich kritischer ist, als anfangs angenommen.
Laut dem Artikel sollen mehr als 200 Programme anfällig für diese Schwachstelle sein.
Und weil die Sicherheitslücke auf eine Grundfunktion von Windows basiert, dürfte es für Microsoft nicht einfach sein, diese Schwachstelle zu beheben (zumal diese Microsoft bereits vor 4 Monaten transparent gemacht wurde). Ein entsprechendes Statement von Microsoft steht immer noch aus.

Update 2:
Microsoft hat das Microsoft Security Advisory (2269637) für die obige Lücke online gestellt.
Als erste Workarounds werden hier folgende Maßnahmen empfohlen:

• WebDAV-Dienst beenden
• Weitere Informationen zum Beenden des WebDAV-Dienstes findet man im Security Research & Defense Artikel “More information about the DLL Preloading remote attack vector“
• WebClient Service beenden:
1. Klicken Sie auf Start und auf Ausführen, geben Sie services.msc ein, und anschließend auf OK.
2. Mit der rechten Maustaste auf WebClient-Dienst und wählen Sie Eigenschaften.
3. Ändern Sie den Starttyp auf Deaktiviert. Wenn der Dienst ausgeführt wird, klicken Sie auf Stop.
4. Klicken Sie auf OK und verlassen Sie die Management-Anwendung.
• Ausgehende SMB-Verbindungen (Ports 139 und 445) mittels Firewall blocken

Bein Editieren des WebClient Service’s und der Ports 139 und 445 ergeben sich Einschränkungen, die man sich im Microsoft Security Advisory (2269637) verinnerlichen sollte.

Der Sicherheitspezialist Thierry Zoller berichtet in seinem Blog, das unter anderem Photoshop (keinen Hinweis auf die Programm-Version) von dieser Schwachstelle betroffen ist.
Immerhin eine Software, die gerne benutzt wird.