Microsoft fixt DLL-Hijacking-Schwachstelle in Store-App Telemetrie-Wrapper-Installer

Windows[English]Microsoft hat damit vor einiger Zeit seine Store-Apps mit einem neuen Installer versehen. Dieser enthält einen ausführbaren .NET-Wrapper der Telemetrie und weiteren Code in die App integriert. In der ersten Version wies dieser .NET-Wrapper aber eine DLL-Hijacking-Schwachstelle auf, die ich hier im Blog dokumentiert hatte. Nun ist mir die Information zugegangen, dass Microsoft die DLL-Hijacking-Schwachstelle beseitigt habe.


Anzeige

Store-Apps mit Telemetrie-Wrapper

Entwickler Rafael Rivera war aufgefallen, dass seine Store-App EarTrumpet im April 2024 plötzlich mit einem neuen .NET-Wrapper versehen worden war und mit einem entsprechenden Installer ausgeliefert wurde.

Microsoft packt Store-Apps mit Telemetrie

Der technische Hintergrund ist, dass Microsoft ein Store-Installationsprogramme für das Web eingeführt hat, welches eine neue und optimierte Möglichkeit bietet, Store-Anwendungen direkt von apps.microsoft.com aus zu installieren. Ich hatte diesen Sachverhalt im Blog-Beitrag Microsoft packt Store-Apps mit Telemetrie-Wrapper aufgegriffen.

Das DLL-Hijacking-Problem

Es war das alte Problem: Die Entwickler haben sich auf die Standardvorgaben von Windows verlassen und mit dem Store-Installer eine Sicherheitslücke aufgerissen. Der App-Installer-Wrapper enthielt einen DLL-Hijacking-Helper, der das Einschleusen von Malware ermöglichte. Ein Angreifer muss im Download-Ordner lediglich eigene Dateien der Art ncrypt.dll, cryptsp.dll, cryptbase.dll, bcrypt.dll, msvcp140_clr0400.dll, profapi.dll, en\StoreInstaller.resources.dll, d3d9.dll, etc. ablegen und warten. Sobald der Installer ausgeführt wird, lädt dieser die betreffenden DLLs.

Microsoft's App installer wrapper as DLL Hijacking helper

Das Ganze ist unter dem Begriff DLL-Hijacking bekannt: Windows sucht im Ordner des ausgeführten Programms und in bestimmten Pfaden nach den angegebenen DLL-Bibliotheksdateien. Erst wenn diese dort nichts gefunden werden, schaut Windows in den eigenen Systemordnern nach und lädt die Bibliotheken. Ich hatte die Details im Blog-Beitrag Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle aufgegriffen.

Microsoft korrigiert des Problem

Nachdem Entwickler Rafael Rivera das Thema auf X in Tweets aufgegriffen und Sicherheitsforscher wie Will Dormann darüber berichtet haben, sind die Microsoft-Entwickler wohl erneut in sich gegangen. Denn man kann durchaus im Programm angeben, dass die Anwendung gezielt in den Windows-Ordnern nach den benötigten DLLs schaut und nicht die Standardvorgaben des Betriebssystems verwendet.


Anzeige

Microsoft's App installer wrapper fixed DLL Hijacking helper

Die Tage habe ich einen Tweet von Rafael Rivera gesehen, der berichtet, dass Microsoft in aller Stille seine App-Installationsdatei überarbeitet habe. Der Suchpfad für die DLL wurde so geändert, dass ein DLL-Hijacking nicht mehr funktioniert. Weiterhin sei ein neues Symbol hinzugefügt worden etc. Riviera hat bisher keine Rückmeldung des Microsoft Team im Hinblick auf diese Änderung, obwohl er die Leute kontaktiert hatte, nachdem er auf die DLL-Hijacking-Schwachstelle gestoßen war.

Ähnliche Artikel:
Microsoft packt Store-Apps mit Telemetrie-Wrapper
Microsofts neuer Store-App-Installer mit Telemetrie-Wrapper als Sicherheitsfalle


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft fixt DLL-Hijacking-Schwachstelle in Store-App Telemetrie-Wrapper-Installer

  1. Leser0815 sagt:

    Was für ein Schocker! Nutzlose Telemetrie stellt eine Angriffsfläche dar?
    /Sarkasmus weit Richtung Redmond geworfen

    Danke Günni, passt wie immer in unser datensparsames Weltbild und sorgte für ein Schmunzeln ;)

  2. Stefan Kanthak sagt:

    Dummerweise stopfen die Spezial-Eksperten aus Redmond die andere, in jeder .NET missbrauchenden Anwendung vorhandene und DOKUMENTIERTE Schnittstelle zum Ausführen einer DLL NICHT, da sie im Unterbau von .NET https://msdn.microsoft.com/en-us/library/bb756926.aspx IGNORIEREN: siehe https://msdn.microsoft.com/en-us/library/bb384689.aspx#initializing-the-profiler und https://msdn.microsoft.com/en-us/library/ee471451.aspx#startup-load-profilers sowie https://skanthak.homepage.t-online.de/uacamole.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.