Installation von Banking4 anfällig für „DLL-Hijacking“

Unter dem Begriff „DLL-Hijacking“ bezeichnet man eine Sicherheitslücke, bei der Angreifer Programme dazu bekommen können, statt der korrekten DLLs eigene Versionen mit Schadcode zu laden und auszuführen. Siehe dazu auch https://de.wikipedia.org/wiki/DLL_Hijacking und https://skanthak.homepage.t-online.de/sentinel.html.

Die Windows-Version von Banking4 der Firma Subsembly ist leider auch für diese Lücke anfällig. Der Grund dafür ist, dass die Installation nicht als MSI-Paket angeboten wird, sondern als ausführbares Programm TopBanking4Setup.exe, siehe auch https://subsembly.com/buybanking4.html. Das Problem: dieses Programm fordert administrative Rechte für die Installation an und lädt dann unter anderem auch die DLL cabinet.dll.

Normalerweise liegt die korrekte Version dieser DLL im Systemverzeichnis von Windows (%SYSTEMROOT%\system32 oder %SYSTEMROOT%\SysWOW64). Diese Version ist auch vor dem Überschreiben geschützt, da man zum Ändern der Datei administrative Rechte benötigt. Leider wird aber im Fall von Banking4 die DLL auch dann geladen, wenn man eine modifizierte Version im selben Verzeichnis wie TopBanking4Setup.exe ablegt, da sie ohne Pfadangabe geladen wird. Da die DLL durch das Installationsprogramm administrative Rechte erhält, kann sie auch beliebig in die Installation von Banking4 eingreifen und Schadcode in die installierte Anwendung einbringen.

Zur Reproduzierung des Problems: im Ordner, in dem man TopBanking4Setup.exe abgelegt hat, eine Datei mit dem Namen cabinet.dll anlegen und dann TopBanking4Setup.exe starten. Zuerst werden administrative Rechte angefordert, dann erscheint eine Fehlermeldung, weil statt der korrekten Version der DLL die Version im Verzeichnis des Installationsprograms geladen wird:

Würde es sich um eine echte DLL handeln, würde diese aber kommentarlos geladen und mit administrativen Rechten ausgeführt!

Die Lösung wäre, ein MSI-Paket anzubieten, statt eines ausführbaren Programms. MSI-Pakete werden durch den Windows-Installer ausgeführt und hier besteht keine Gefahr des „DLL-Hijacking“. Siehe dazu auch https://skanthak.homepage.t-online.de/!execute.html

Mindestens sollen aber DLLs nicht ohne Pfadangabe geladen werden.

Auf meine erste Anfrage dazu an die Firma Subsembly wurde mir allerdings schon geantwortet, dass man nicht vorhat, etwas zu ändern.

Öffentlichen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Dies ist kein Kontaktformular! Wenn Du mir eine persönliche Nachricht schreiben möchtest, benutze die E-Mail-Adresse in meinem Impressum.