DLL Proxying: Trend Micro liefert Updates, weitere Hersteller angreifbar

IT-Sicherheitsforscher haben eine Spielart von DLL-Hijacking aufgespürt und untersucht, ob Antivirenprogramme für Endanwender dafür anfällig sind. Das "DLL-Proxying" ist offenbar ein reales Problem. Als erster Hersteller hat Trend Micro nun aktualisierte Software veröffentlicht, um die Sicherheitslücke zu schließen.

Beim DLL-Hijacking geht es darum, einem Programm etwa aus einem anderen als dem eigentlich vorgesehenen Verzeichnis eine Datei unterzuschieben, die eigenen Code enthält und diesen so zur Ausführung zu bringen. Das ist möglich, da DLLs (Dynamic Load Libraries) Funktionen liefern und erst zur Laufzeit geladen werden. Windows setzt dabei auf eine Suchreihenfolge von definierten Pfaden: Etwa in bestimmten, mit diverser Software geteilten Windows-Verzeichnissen, aber auch dem Programmverzeichnis. Legen Angreifer eine DLL mit gleichem Namen dort ab, kann die gefälschte anstatt der erwarteten Bibliothek geladen werden.

Variante DLL-Proxying

In einem Artikel auf Medium erläutern die IT-Forscher Miguel Mèndez und Renato Garreton ihre Variation von DLL-Hijacking, die sie DLL-Proxying nennen. Im Prinzip bauen sie eine DLL gleichen Namens, wie es bei DLL Hijacking ebenfalls der Fall ist. Allerdings legen sie für jede Original-DLL-Funktion einen Funktionsrumpf an, der Aufrufe an die originale Bibliothek durchreicht. Eigener (Schad-)Code steht außerhalb dieser Funktionen, wird aber natürlich ebenfalls ausgeführt. Durch das Durchschleifen wird die Programmfunktion nicht eingeschränkt. Bei herkömmlichen DLL-Hijacking müssten Angreifer dafür eine vorhandene, bereits kompilierte DLL-Datei modifizieren und zusätzlich eigenen Code einschleusen.

Das Vorgehen haben Méndez und Garreton bei der Untersuchung einer Malware aus freier Wildbahn beobachtet. Sie haben daraufhin eine eigene Bibliothek mit dieser Technik programmiert und gegen mehrere Antivirenprorgamme für Endkunden getestet. Sie haben dabei missbrauchbare Lücken in Software von mehreren Anbietern gefunden: Avira, Bitdefender, Forticlient, TotalAV, Trend Micro und ZoneAlarm. Fortinet hat die Lücke zurückgewiesen, als die IT-Forscher sie gemeldet hatten. ZoneAlarm arbeitet an einem Patch.

Trend Micro Security 2023 uiAirSupport verwundbar

Trend Micro hat nun für uiAirSupport Aktualisierungen veröffentlicht, was Bestandteil der Trend-Micro-Sicherheitsprodukte für Konsumenten ist. In der Sicherheitsmitteilung erläutert der Hersteller, dass uiAirSupport für DLL-Hijacking respektive DLL-Proxying anfällig ist, was Angreifern erlaubt, eine DLL zu fälschen und damit Code auszuführen und schließlich die eigenen Rechte auszuweiten. Die Lücke hat auch einen CVE-Eintrag erhalten, CVE-2024-23940 – allerdings ohne konkreten CVSS-Wert und Risikoeinstufung.

Betroffen sind uiAirSupport von Trend Micro Premium Security, Maximum Security, Internet Security und Antivirus+Security bis einschließlich Version 6.0.2092. Der Fix kommt mit Version 6.0.2103 auf den Windows-Rechner. Kunden sollten sicherstellen, die aktuelle Version einzusetzen, erklärt Trend Micro.

ZoneAlarm dürfte ebenfalls in Kürze Aktualisierungen verteilen. Wie das bei Avira, Bitdefender und TotalAV aussieht, ist jedoch unklar. Fortinet wird offenbar keine Aktualisierung herausgeben, da der Hersteller kein Problem sieht.

DLL-Hijacking-Lücken kommen öfter vor. McAfee musste etwa 2022 in den Agents solch eine Lücke schließen. Sie wurde da als hohes Risiko eingestuft.

(dmk)