141255

Doppelklick-Falle öffnet Trojanern die Tür

20.09.2000 | 17:40 Uhr |

Eine neue Sicherheitslücke ist entdeckt worden, die unter Windows die fremde Übernahme eines Rechners ermöglicht. Das Hinterhältige daran: Der Benutzer braucht nur ein Office-Dokument zu öffnen, um sich Preis zu geben. Dieses Dokument kann "sauber" und aus zuverlässiger Quelle sein, der Pferdefuß liegt in einer gefälschten .dll-Datei

Eine neue Sicherheitslücke ist entdeckt worden, die in Windows Zugriff auf fremde Rechner bis hin zu deren Übernahme ermöglicht. Das Hinterhältige daran: der Benutzer braucht nur ein Office-Dokument zu öffnen, um sich Preis zu geben.

Viele Benutzer sind schon lange dazu über gegangen, nur noch Dokumente aus zuverlässiger Quelle zu öffnen, die von einem Virenscanner geprüft wurden. Doch diese Sicherheitsmaßnahme hilft in diesem Fall nicht. Der Pferdefuß liegt in einer gefälschten Datei mit der Bezeichnung "riched20.dll" oder "msi.dll", die sich im gleichen Verzeichnis befinden muss wie das geöffnete Dokument. Die Erweiterung .dll wird unter Windows für Programmbibliotheken verwendet.

Wird nun ein Office-Dokument per Doppelklick im Windows Explorer geöffnet, sucht das System nach den benötigten Programmbibliotheken zunächst in dem Verzeichnis, in dem sich das Modul für den aktuellen Prozess enthält, und dann im aktuell geöffneten Verzeichnis. Liegt hier eine böswillig modifizierte Version der .dll-Dateien abgelegt, wird diese ausgeführt. Voraussetzung ist, dass keine "echte" Version der .dll im Speicher resident ist, weil zuvor ein anderes Office-Dokument geöffnet wurde. Ein findiger Programmierer könnte durch die Sicherheitslücke fast alles auf dem betroffenen System erreichen.

Diese Sicherheitslücke wurde von Georgi Guninski entdeckt, der schön öfters Programmschwächen wie diese öffentlich gemacht hat. Microsoft antwortete auf die Vorwürfe in einem Rundschreiben und argumentiert, dass es nicht einfach ist, diese Lücke auszunutzen. Es müsse dem böswilligen Programmierer ja erst gelingen, eine gefälschte .dll-Datei auf dem Rechner des Opfers zu platzieren.

Verschiedene Szenarien sind allerdings denkbar, in denen dies einfach zu bewerkstelligen ist. Manche Mailprogramme wie etwa Eudora speichern Attachments in einem eigens dafür geschaffenen Verzeichnis ab. Wenn also eine Mail gleichzeitig ein Dokument und eine gefälschte .dll im Anhang enthält, liegen schon alle Mittel bereit, um diese Sicherheitslücke auszunutzen. (PC-WELT, 20.09.2000, meh)

Sicherheitslöcher in Office und IE behoben (PC-WELT Online, 17.7.2000)

Sicherheitslücke betrifft nicht nur Microsoft (PC-WELT Online, 5.9.2000)

Win 2000 Sicherheitslücke (PC-WELT Online, 9.8.2000)

0 Kommentare zu diesem Artikel
141255