Neuigkeiten
ESET-Kundenhinweis 2016-0001
19. Februar 2016
Schweregrad: Kritisch
Zusammenfassung
ESET hat Gegenmaßnahmen implementiert, um DLL Search Order-Angriffe gegen die EXE-Installer für mehrere Windows-Produkte zu verhindern. Die Liste finden Sie im Abschnitt Betroffene Programme und Versionen weiter unten.
Vor der Implementierung dieser Gegenmaßnahmen waren ESET-Installationsprogramme möglicherweise anfällig für das Vorladen von DLLs mit erhöhten Rechten, die durch Ausnutzung dieser DLL Search Order-Schwachstelle erlangt wurden. Dies konnte erreicht werden, indem eine speziell erstellte DLL-Datei vor der Installation in denselben Ordner wie das Installationsprogramm gelegt wurde. Obwohl dies ein unwahrscheinliches Szenario zu sein scheint, werden Installationsprogramme üblicherweise aus dem vom Webbrowser verwendeten "Downloads"-Ordner ausgeführt, der vom Benutzer heruntergeladene DLL-Dateien enthalten könnte.
ESET ist nicht bekannt, dass diese Schwachstelle in der freien Wildbahn aktiv ausgenutzt wird.
Die Abhilfemaßnahmen in diesen Hotfixes werden bald durch umfassendere Lösungen ersetzt.
Lösung
Wenn Sie bereits ein betroffenes ESET-Produkt installiert haben, müssen Sie keine Maßnahmen ergreifen, um dieses Problem zu beheben. Wenn Sie jedoch planen, Ihr ESET-Produkt mithilfe eines EXE-Datei-Installationspakets zu installieren, neu zu installieren oder zu aktualisieren, laden Sie bitte die aktuellste Version von der ESET-Website herunter, bevor Sie fortfahren. Wenn Sie die neue EXE-Datei nicht herunterladen können, verschieben Sie Ihr vorhandenes EXE-Installationsprogramm in einen neu erstellten (leeren) Ordner und führen Sie es von dort aus.
Betroffene Programme und Versionen
- ESET Smart Security Live Installer 9.0.19.0 und früher
- ESET NOD32 Antivirus Live Installer 9.0.19.0 und früher
- ESET Smart Security Offline Installer 9.0.349.13 und früher (9.0.351.2 und früher für slowakische und tschechische Lokalisierungen und 9.0.349.6 und früher für polnische Lokalisierungen)
- ESET NOD32 Antivirus Offline Installer 9.0.349.13 und früher (9.0.351.2 und früher für die slowakische und tschechische Lokalisierung und 9.0.349.6 und früher für die polnische Lokalisierung)
- ESET AV Remover 1.1.3.0 und früher
- ESET Endpoint Security mit AV Remover 6.3.2016.0 vom 27. November 2015
- ESET Endpoint Antivirus mit AV Remover 6.3.2016.0 vom 27. November 2015
Details
Die EXE-Installationsdateien von ESET können wie jede andere EXE-Datei dynamisch verknüpfte Bibliotheken (DLL-Dateien) verwenden. DLL-Dateien werden von der ausführbaren Datei selbst oder vom Betriebssystem geladen, und zwar von dem ersten Ort, an dem sie bei einer sequentiellen Suche in der DLL-Suchreihenfolge gefunden werden. Die Standard-DLL-Suchreihenfolge beginnt mit dem Ordner, in dem sich das aktuelle Programm befindet. Wenn also Kunden eine EXE-Installationsdatei in ihren Download-Ordner herunterladen und es einem Angreifer gelungen ist, vor der Ausführung des Installationsprogramms eine bösartige DLL-Datei mit passendem Namen in diesem Ordner abzulegen, wird die DLL des Angreifers zuerst gefunden und geladen. Diese DLL kann dann das System des Opfers gefährden. Eine ausführliche Erklärung von Microsoft zur DLL-Suchreihenfolge können Sie hier lesen.
Am 21. Dezember 2015 beschrieb ein Sicherheitsforscher diese Schwachstelle in einigen unserer Produkte; wir erfuhren erst später an diesem Tag davon. Am 30. Dezember 2015 schloss ESET die Vorbereitung und das Testen eines Hotfixes für dieses Problem ab. Am nächsten Tag wurden korrigierte Versionen der Installationspakete für ESET Smart Security und ESET NOD32 Antivirus in den Lokalisierungen Englisch, Slowakisch, Tschechisch und Polnisch veröffentlicht, und am 13. Januar 2016 wurden Updates für alle übrigen Lokalisierungen veröffentlicht. Ein Update für ESET AV Remover 1.1.4.0 wurde am 21. Januar 2016 veröffentlicht. Updates für ESET Endpoint Security mit AV Remover 6.3.2016.0 und ESET Endpoint Antivirus mit AV Remover 6.3.2016.0 wurden am 15. Februar 2016 veröffentlicht. Bitte beachten Sie, dass diese beiden letzten Updates mit der gleichen Produktversion ausgeliefert werden wie die vorherigen, nicht korrigierten Release-Builds.
ESET bevorzugt EXE-Installationsprogramme aus Gründen der Benutzerfreundlichkeit. Die nativen MSI-Installationsprogramme von Windows bieten nicht die Flexibilität, alle möglicherweise erforderlichen Aktionen durchzuführen (z. B. die Überprüfung, ob eine neuere Version der Software verfügbar ist, bevor die Installation fortgesetzt wird, die Deinstallation zuvor installierter Sicherheitssoftware usw.). Trotzdem verwenden die EXE-Datei-Installationsprogramme von ESET im Hintergrund MSI-Installationsverfahren, um die Einhaltung der Software-Installationsrichtlinien von Microsoft sicherzustellen.
Installationspakete mit noch robusteren Lösungen für die gemeldeten Probleme werden in Kürze veröffentlicht, um mehr mögliche Angriffsszenarien auf mehr Zielbetriebssystemen abzudecken.
Danksagung
ESET dankt dem unabhängigen Sicherheitsforscher Stefan Kanthak, der dieses Problem gefunden und gemeldet hat.
Feedback & Unterstützung
Wenn Sie Feedback oder Fragen zu diesen Updates haben, kontaktieren Sie uns bitte über das ESET Security Forum oder über den lokalen ESET Support.
Meldung von Sicherheitslücken an ESET
ESET begrüßt Berichte über Sicherheitslücken in seinen Produkten. Siehe http://www.eset.com/int/security-vulnerability-reporting/
Versionsprotokoll
- Version 1.0 (19. Februar 2016): Erste Version
