Wer die in zahlreichen Programmen zu findende DLL-Lücke mit dem seit rund einer Woche erhältlichen Microsoft-Tool abdichten will, handelt sich unter Umständen Probleme ein: Ist der von Hand anzulegende Registry-Eintrag CWDIllegalInDllSearch im Pfad "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager" zu streng eingestellt, sind Programme wie Chrome unbedienbar. Microsoft hat jetzt ein "Fix-it" veröffentlicht, das den Key automatisch anlegt und auf den milderen Wert "2" setzt – so ist man zumindest vor unmittelbarem DLL Hijacking über Netzwerkfreigaben geschützt. Das eigentliche Schutz-Tool muss man zuvor allerdings dennoch installieren. Microsoft spielt derzeit mit dem Gedanken, es über Windows Update auszuliefern.

Das vergangene Woche zur Eindämmung der DLL-Lücke veröffentlichte Microsoft-Tool sorgt dafür, dass einige Programme nicht mehr ordnungsgemäß funktionieren: Will man Angreifer mit dem Tool zuverlässig daran hindern, dass sie vertrauenswürdigen Anwendungen verseuchte Bibliotheken unterschieben, gibt man dem neu angelegten Registry-Key am besten den DWORD-Wert 0xFFFFFFFF ("ffffffff"). Dadurch wird das Arbeitsverzeichnis, das sich auch auf einer Netzwerkfreigabe befinden kann, global aus der DLL-Suchreihenfolge von Windows entfernt.

Nachdem HD Moore Einzelheiten zu dem vergangene Woche bekannt gewordenen DLL-Problem unter Windows und ein Tool zum Testen veröffentlicht hat, tauchen nun immer mehr Berichte über betroffene Anwendungen und dazu passende Exploits auf. Neben Firefox und Opera zählen zu den verwundbaren Programmen verbreitete Anwendungen wie Powerpoint, Photoshop, Dreamweaver, VLC, uTorrent und Wireshark – jeweils in der aktuellen Version. Sie alle greifen auf eine unsichere Variante zum Laden von DLLs zurück, bei der in der Suchreihenfolge zu einem frühen Zeitpunkt das aktuelle Verzeichnis steht – und das kann auch ein Netzlaufwerk sein.

In einem Advisory warnt Microsoft vor einem verbreiteten Programmierfehler, durch den Programme Schadcode in präparierten DLL-Dateien ausführen. Dabei öffnet der Anwender etwa ein Bild auf einem Netzwerklaufwerk. Die installierte Anwendung lädt dann unter Umständen auch Bibliotheken, in denen sich Schadcode befinden könnte, aus diesem Netzwerkverzeichnis nach.

Die Art, wie Windows Bibliotheken für Anwendungen anderer Hersteller nachlädt, lässt sich offenbar von Angreifern ausnutzen, um eigene Programme auf dem System eines Opfers auszuführen. Ursache des Problems soll es diversen Hinweisen zufolge sein, dass Anwendungen beim Laden der mit ihnen verknüpften Dateien (Safe Files) von externen Quellen versuchen, bestimmte Bibliotheken ebenfalls von dort zu laden.