Security des tages

Benutzerfreundlichkeit macht alles besser, und die modernen brauser sind ein segen… vor allem für kriminelle:

Vermutlich ist es allgemein bekannt: wenn sie etwas mit ihrem modernen brauser wie zum beispiel guhgells krohm oder meikrosofts „edge“ herunterladen, wird diese datei auf einen einfachen klick hin auf ihr lokales system heruntergeladen, ohne dass es zusätzlicher bestätigungen bedarf. In der standardeinstellung wird die datei in ihrem daunlohd-verzeichnis unter C:\Users\<username>\Downloads abgelegt.

[…]

Dieses funkzjonsmerkmal „auto-daunlohd“ ist gut, wenn man es von der benutzererfahrung her betrachtet, aber es ist nicht so gut für die kompjutersicherheit, insbesondere, weil der daunload auch über javascript angestoßen werden kann. Der angreifer könnte einfach eine boshaft erstellte DLL mit einem bestimmten namen in das daunlohds-verzeichnis legen, wenn das opfer eine webseit besucht, die vom angreifer kontrolliert wird. Später, wenn das opfer versucht, gute programme (also: ausführbare dateien) von seriösen webseis daunzulohden und zu installieren, wird diese gute ausführbare datei ebenfalls daungelohdet und natürlich im daunlohds-order ausgeführt — und schon kommt es dazu, dass der vorgang der installazjon oder ausführung übernommen wird.

Das hat seinen grund darin, dass die meisten ausführbaren dateien DLLs benötigen. In jedem fall ist dabei das verzeichnis der anwendung der allererste ort in der suchreihenfolge, wenn eine DLL gesucht und geladen wird […] Es ist auf diese weise möglich, die meisten DLLs und sogar die DLLs des betriebssystemes zu übernehmen, indem eine gleichnamige DLL in das verzeichnis der ausführbaren datei platziert wird. […]

Die ganze geschichte in englischer sprache und mit dem video einer demonstrazjon bei Haifei weiterlesen. [via full disclosure]

Übrigens ist der krohm von guhgell bei diesem häckchen unsicherer als der „edge“ von meikrosoft, der beim daunlohd einer nichtsignierten DLL eine warnung anzeigt.

10 Antworten zu “Security des tages

  1. „Netter“ Angriffsvektor…. Um das mal so in der Sprache der theoretischen Cyber Physiker zu sagen.
    😀
    Da schießt sich die „Sandbox“ selber ins Knie LoL

    Fuck you rotten Ubersteve! ups…. das ist ja gar nicht Flash….. *rofl*

    • Der erste gedanke, den ich beim lesen hatte: massenhaft billige ads mieten, auf die nie einer klickt, die aber mit javascript einen daunlohd anstoßen und die nächsten wochen darauf warten, von wo sich überall die bots melden und auf weitere anweisungen warten. Danach kann man bots vermieten, onlein-bänking manipulieren, keylogger laufen lassen und vieles weitere mehr.

      Wenn die verzeichnisse so aussehen wie bei den meisten menschen — eine bis zu vierstellige anzahl dateien und ein „ich müsste mal aufräumen“ im daunlohd-verzeichnis — dann kommt bei der infekzjon kein mensch mehr drauf, wo die seuche herkommt. Mit den antivirus-schlangenölen muss man ein bisschen glück haben oder sich die mühe machen, einen sehr variablen schädling zu nehmen. Ich schätze, dass man mit leichtigkeit mehrere zehntausend windohs-installazjonen übernommen kriegt. So ein analog zur umgebungsvariablen LD_LIBRARY_PATH unter linux scheints mit windohs nicht zu geben.

      Ich freue mich jedenfalls noch auf ganz viele kreative javascript-häcks, mit denen ich niemals gerechnet hätte… 😉

      (Automatisch runterladen, ohne speichern-dialog… tolle idee!)

      • Jo. Ganz tolle Idee!

        So wie Allways On…. I(DI)OT – iShit usw.

        körg an Entenscheiss(hausen)… Bitte Instantwasser mit wahnsinniger Geschwindigkeit beim Quäk bestellen. Mein Puls auf der Uhr kommt schon in den roten Bereich.

        Gez. Möter. Halb Mensch halb Köter… ;D

        Axo. Ich stelle alle Pfade händisch um, auf die platte wo das halt sein soll. Auch OS-tempfiles und Installationspfade , Umgebung etc.

        Ansonsten brauche ich auch keinen PERSONAL (ne das hat nix mit Diener zu tun, sonder eher mit persönlich) Computer. Da nehm ich dann doch vielleicht lieber ne Playstation oder den LSDj 😎

        Weiss su Elias. Manchmal, ja manchmal ist es schon von Vorteil noch zu wissen, wie so ne einfache Floppydisk aufgebaut ist und mit dem Format, den Sektoren und Quadranten so rein cyber phisisch im „Elite“ – weil alt -Univers – auch wenn es nur paar Pixel aufm Schirm waren 😉

        Bald…. etwas in der Zukunft.

        Der Damm ist gebrochen. Suckerborg hat den Kairochip vom Karmag – Genisys in Second Live.

        Und wenn sie nicht gestorben sind. Dann albere ich noch immer….. 😀

      • Axo:
        JavaScript und dunkle Gedanken.
        Wart mal ab was das EME noch alles aus dem Hut zaubert. Ich ahne böses. Beim TV mit dem HD+ usw. isses ja schon drin.

        So als Graswurzellauscher 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.