Trend Micro veröffentlicht Sicherheitsupdate gegen DLL-Hijacking: DLL-Proxying als echtes Risiko entlarvt
Forscher im Bereich IT-Sicherheit haben eine Variante des DLL-Hijackings entdeckt und analysiert, um herauszufinden, ob Antivirenprogramme für Endbenutzer davon betroffen sind. Es scheint, dass das DLL-Proxying tatsächlich ein echtes Problem darstellt. Trend Micro ist der erste Anbieter, der nun aktualisierte Software veröffentlicht hat, um das Sicherheitsrisiko zu beheben.
DLL-Hijacking bezeichnet den Vorgang, bei dem einem Programm eine Datei untergejubelt wird, die eigenen Code enthält und diesen ausführt. Dies ist machbar, weil DLLs (Dynamic Load Libraries) Funktionen bereitstellen und erst während der Laufzeit geladen werden. Windows verwendet eine vordefinierte Reihenfolge von Pfaden, um die Dateien zu suchen. Wenn Angreifer eine DLL mit demselben Namen in einem dieser Verzeichnisse ablegen, kann die gefälschte DLL geladen werden.
Die IT-Forscher Miguel Mndez und Renato Garreton stellen in einem Artikel auf Medium ihre eigene Variante des DLL-Hijackings vor, die sie DLL-Proxying nennen. Grundsätzlich erstellen sie eine DLL mit dem gleichen Namen wie beim DLL-Hijacking. Jedoch erstellen sie für jede Original-DLL-Funktion einen Zwischencode, der Aufrufe an die ursprüngliche Bibliothek weiterleitet. Der eigene Code wird außerhalb dieser Funktionen platziert und ebenfalls ausgeführt. Durch das Durchschleifen bleibt die Funktionalität des Programms unbeeinträchtigt.
Um herkömmliches DLL-Hijacking durchzuführen, müssten Angreifer eine bereits kompilierte DLL-Datei verändern und eigenen Code einschleusen. Nachdem die IT-Forscher das Vorgehen bei der Analyse einer Schadsoftware beobachtet hatten, entwickelten sie anschließend ihre eigene Bibliothek unter Verwendung dieser Technik. Während ihrer Untersuchung haben sie Schwachstellen in der Software mehrerer Anbieter entdeckt, darunter Avira, Bitdefender, Forticlient, TotalAV, Trend Micro und ZoneAlarm. Fortinet hat die Existenz der Sicherheitslücke abgestritten, während ZoneAlarm dabei ist, einen Patch dafür zu entwickeln.
Trend Micro hat nun Updates für uiAirSupport veröffentlicht, das ein Bestandteil der Trend-Micro-Sicherheitsprodukte für Endanwender ist. In der Sicherheitsmitteilung erklärt der Hersteller, dass uiAirSupport anfällig für DLL-Hijacking bzw. DLL-Proxying ist. Diese Schwachstelle ermöglicht es Angreifern, eine DLL zu fälschen und dadurch Code auszuführen sowie ihre Rechte zu erweitern. Die Sicherheitslücke wurde ebenfalls mit einem CVE-Eintrag versehen, nämlich CVE-2024-23940, jedoch ohne spezifischen CVSS-Wert und Risikoeinstufung.
Die betroffenen Produkte von Trend Micro, nämlich uiAirSupport von Trend Micro Premium Security, Maximum Security, Internet Security und AntivirusSecurity bis einschließlich Version 6.0.2092, erhalten mit der Version 6.0.2103 einen Fix für dieses Problem auf Windows-Rechnern. Trend Micro empfiehlt Kunden, sicherzustellen, dass sie die neueste Version verwenden. Auch ZoneAlarm wird in naher Zukunft Updates bereitstellen. Es ist jedoch unklar, wie es bei Avira, Bitdefender und TotalAV aussieht. Es scheint, dass Fortinet keine Aktualisierung bereitstellen wird, da der Hersteller das Problem nicht als relevant erachtet.
Es gibt häufiger DLL-Hijacking-Schwachstellen. Zum Beispiel musste McAfee im Jahr 2022 eine solche Schwachstelle in den Agents beheben. Es wurde festgestellt, dass sie ein erhebliches Risiko darstellt.
Schlagwörter: ZoneAlarm + Renato Garreton + Avira
Wie bewerten Sie den Schreibstil des Artikels?