[English]Die Tage hat Malwarebytes das Tool AdwCleaner 8.0.6 freigegebenen. Das Update schließt eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.5.
Eine unendliche Geschichte des AdwCleaner
Ich bin nicht Michael Ende, aber das Ganze mit DLL-Hijacking im AdwCleaner entwickelt sich zu einer unendlichen Geschichte der Zeit. Ich hatte erstmals im Dezember 2019 den Blog-Beitrag AdwCleaner 8.0.1 schließt DLL-Hijacking-Schwachstelle hier im Blog. Dieser befasste sich mit einer DLL-Hijacking-Schwachstelle in diesem Tool. Dort finden sich auch Hinweise, was der AdwCleaner so macht. Die Schwachstelle hatte ich an Malwarebytes gemeldet und stand seit dieser Zeit mit einem der Entwickler in Kontakt. Die sind willig und fähig, diese Schwachstelle im kostenlosen AdwCleaner zu beseitigen.
Leider war die DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.3 wieder zurück. Das hatte ich im Blog-Beitrag AdwCleaner 8.0.4 schließt neue DLL-Hijacking-Schwachstelle angesprochen.
Erneut DLL-Hijacking-Schwachstelle in AdwCleaner 8.0.5
Vor einigen Wochen stieß ich zufällig auf einer der US-Seiten (weiß nicht, ob es Bleeping Computer, Neowin oder MS Power User war) auf einen Link, über den der AdwCleaner 8.0.5 angeboten wurde. Also habe ich diese Version heruntergeladen und über mein Testbett laufen lassen.
Der AdwCleaner braucht ja nicht installiert zu werden, fordert aber beim Start administrative Berechtigungen. Der Benutzer wird diese erteilen, da er ja sein System von Junkware bereinigen will.
Bereits beim Start des Programms wurde mir über das obige Dialogfeld mitgeteilt, dass die Version 8.0.5 des AdwCleaner für DLL-Hijacking anfällig sei. Das bedeutet, dass alle vom AdwCleaner nachgeladenen DLL-Dateien ebenfalls als Prozess mit administrativen Berechtigungen ausgeführt werden. Weiß eine Malware, dass ein Tool eine DLL-Hijacking-Schwachstelle für bestimmte DLLs aufweist, braucht diese lediglich eine Datei gleichen Namens im Ordner mit der Anwendung abzulegen. Bei AdwCleaner dürfte das meist der Ordner Downloads sein. Dann wird diese DLL anstelle der Windows-DLL geladen (Hijacking).
Das Testbett wird von Stefan Kanthak bereitgestellt, der sich mit solchen Sicherheitsthemen auseinander setzt. Man kann sich die Datei Forward.cab von seiner Webseite herunterladen und in einen Ordner entpacken. Zudem gibt es noch eine Sentinel.exe, die auch in diesen Ordner wandert.
Falls ein Virenscanner beim Besuch der Kanthak-Webseite anspringt: Er liefert auf seiner Webseite das Eicar-Testvirus in einem Data Block-Attribut aus, um zu testen, ob Browser diesen auswerten und in den Speicher zur Ausführung laden. Dann sollte ein Virenscanner anschlagen.
Der Entwickler reagiert sofort
Da ich bereits wegen der gleichen Problematik zwei Mal mit dem Entwickler bei Malwarebytes Kontakt stand, und das Problem immer wieder behoben wurde, habe ich ihm eine Mail geschickt. Dort habe ich deutlich nachgehakt, warum alle zweite Version des AdwCleaner mit DLL-Hijacking-Schwachstelle kommt. Der Entwickler versprach sich zu kümmern und sicherzustellen, dass sich dieser Fehler in neuen Builds nicht wiederholt. Gut, der Entwickler versprach auch, mich bei Verfügbarkeit des AdwCleaner 8.0.6 zu informieren – auf die Mail warte ich noch heute.
Addendum: Lawrence Abrams von Bleeping Computer at übrigens vor wenigen Stunden diesen Artikel veröffentlicht. Dieser beschreibt, wie der AdwCleaner 8.0.6 nun Malware diekt von der Befehlszeile entfernen kann.
Gestern Abend ist mir die Idee gekommen, einfach mal nachzuschauen, ob diese Version bereits freigegeben wurde und einen Test laufen zu lassen. Der AdwCleaner 8.0.6 wird aktuell auf dieser Malwarebytes-Webseite zum gratis Download angeboten. Ein Test ergab, dass die DLL-Hijacking-Schwachstelle wieder einmal beseitigt ist.
Der AdwCleaner 8.0.6 muss laut diesem Foreneintrag am 1. Juli 2020 Abends veröffentlicht worden sein. Das Ganze ist also noch frisch. Falls wer das Tool einsetzt, sollte er sich die neueste Version 8.0.6 besorgen. Im Foreneintrag ist übrigens beschrieben, was sich an der neuen Version des Tools änderte.
Ähnliche Artikel:
Malwarebytes AdwCleaner 8.0
AdwCleaner 8.0.1 schließt DLL-Hijacking-Schwachstelle
AdwCleaner 8.0.4 schließt neue DLL-Hijacking-Schwachstelle
„Das Update schließt eine von mir an die Entwickler gemeldete DLL-Hijacking-Schwachstelle im AdwCleaner 8.0.5.“
Gratuliere 👍
Also der neue kam auch zu der Zeit. Ich habe mir diesen am 2.7. herunter geladen. Das durch Zufall, weil ich mal schauen wolle, was es bei den Franzosen so neues gibt.
Das was mich seit V 7.2.x ärgert ist mit den sog. „Vor-Installierten“. Es sollte dem Nutzer überlassen sein, was er will. Unglaublich vor allem dann, wenn man direkt die Software installiert hat, diese pflegt und neue Update installiert.
Das kann man auch nicht wegklicken. Das Auswahl-Menü ist ggw schlimmer als bei JRT, auch aufgekauft von Malwarebytes.
Bei der Webseite von Stefan Kanthak muss man echt aufpassen wo man drauf klickt… Wollte mir nur den augenscheinlichen Bericht über das Eicar Test File durch lesen und schon wollte mein Browser mein E Mail Programm öffnen usw…
Finde ich sehr gefährlich und es wird nirgends drauf hingewiesen…