Forscher im Bereich IT-Sicherheit haben eine Variante des DLL-Hijackings entdeckt und analysiert, um herauszufinden, ob Antivirenprogramme f\u00fcr Endbenutzer davon betroffen sind. Es scheint, dass das DLL-Proxying tats\u00e4chlich ein echtes Problem darstellt. Trend Micro ist der erste Anbieter, der nun aktualisierte Software ver\u00f6ffentlicht hat, um das Sicherheitsrisiko zu beheben.<\/p>\n
DLL-Hijacking bezeichnet den Vorgang, bei dem einem Programm eine Datei untergejubelt wird, die eigenen Code enth\u00e4lt und diesen ausf\u00fchrt. Dies ist machbar, weil DLLs (Dynamic Load Libraries) Funktionen bereitstellen und erst w\u00e4hrend der Laufzeit geladen werden. Windows verwendet eine vordefinierte Reihenfolge von Pfaden, um die Dateien zu suchen. Wenn Angreifer eine DLL mit demselben Namen in einem dieser Verzeichnisse ablegen, kann die gef\u00e4lschte DLL geladen werden.<\/p>\n
Die IT-Forscher Miguel Mndez und Renato Garreton stellen in einem Artikel auf Medium ihre eigene Variante des DLL-Hijackings vor, die sie DLL-Proxying nennen. Grunds\u00e4tzlich erstellen sie eine DLL mit dem gleichen Namen wie beim DLL-Hijacking. Jedoch erstellen sie f\u00fcr jede Original-DLL-Funktion einen Zwischencode, der Aufrufe an die urspr\u00fcngliche Bibliothek weiterleitet. Der eigene Code wird au\u00dferhalb dieser Funktionen platziert und ebenfalls ausgef\u00fchrt. Durch das Durchschleifen bleibt die Funktionalit\u00e4t des Programms unbeeintr\u00e4chtigt.<\/p>\n
Um herk\u00f6mmliches DLL-Hijacking durchzuf\u00fchren, m\u00fcssten Angreifer eine bereits kompilierte DLL-Datei ver\u00e4ndern und eigenen Code einschleusen. Nachdem die IT-Forscher das Vorgehen bei der Analyse einer Schadsoftware beobachtet hatten, entwickelten sie anschlie\u00dfend ihre eigene Bibliothek unter Verwendung dieser Technik. W\u00e4hrend ihrer Untersuchung haben sie Schwachstellen in der Software mehrerer Anbieter entdeckt, darunter Avira, Bitdefender, Forticlient, TotalAV, Trend Micro und ZoneAlarm. Fortinet hat die Existenz der Sicherheitsl\u00fccke abgestritten, w\u00e4hrend ZoneAlarm dabei ist, einen Patch daf\u00fcr zu entwickeln.<\/p>\n
Trend Micro hat nun Updates f\u00fcr uiAirSupport ver\u00f6ffentlicht, das ein Bestandteil der Trend-Micro-Sicherheitsprodukte f\u00fcr Endanwender ist. In der Sicherheitsmitteilung erkl\u00e4rt der Hersteller, dass uiAirSupport anf\u00e4llig f\u00fcr DLL-Hijacking bzw. DLL-Proxying ist. Diese Schwachstelle erm\u00f6glicht es Angreifern, eine DLL zu f\u00e4lschen und dadurch Code auszuf\u00fchren sowie ihre Rechte zu erweitern. Die Sicherheitsl\u00fccke wurde ebenfalls mit einem CVE-Eintrag versehen, n\u00e4mlich CVE-2024-23940, jedoch ohne spezifischen CVSS-Wert und Risikoeinstufung.<\/p>\n
Die betroffenen Produkte von Trend Micro, n\u00e4mlich uiAirSupport von Trend Micro Premium Security, Maximum Security, Internet Security und AntivirusSecurity bis einschlie\u00dflich Version 6.0.2092, erhalten mit der Version 6.0.2103 einen Fix f\u00fcr dieses Problem auf Windows-Rechnern. Trend Micro empfiehlt Kunden, sicherzustellen, dass sie die neueste Version verwenden. Auch ZoneAlarm wird in naher Zukunft Updates bereitstellen. Es ist jedoch unklar, wie es bei Avira, Bitdefender und TotalAV aussieht. Es scheint, dass Fortinet keine Aktualisierung bereitstellen wird, da der Hersteller das Problem nicht als relevant erachtet.<\/p>\n
Es gibt h\u00e4ufiger DLL-Hijacking-Schwachstellen. Zum Beispiel musste McAfee im Jahr 2022 eine solche Schwachstelle in den Agents beheben. Es wurde festgestellt, dass sie ein erhebliches Risiko darstellt.<\/p>\n
Schlagw\u00f6rter: ZoneAlarm + Renato Garreton + Avira<\/p>\n","protected":false},"excerpt":{"rendered":"
Forscher im Bereich IT-Sicherheit haben eine Variante des DLL-Hijackings entdeckt und analysiert, um herauszufinden, ob Antivirenprogramme f\u00fcr Endbenutzer davon betroffen sind. Es scheint, dass das DLL-Proxying tats\u00e4chlich ein echtes Problem darstellt. Trend Micro ist der erste Anbieter, der nun aktualisierte Software ver\u00f6ffentlicht hat, um das Sicherheitsrisiko zu beheben. DLL-Hijacking bezeichnet...<\/p>\n","protected":false},"author":4,"featured_media":3650,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3651","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3651","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3651"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3651\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/3650"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3651"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3651"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3651"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}