Mobile-Menu

Nach Zero Day in Sysinternals-Tools Auch Microsoft PowerToy von DLL Hijacking betroffen

Quelle: Pressemitteilung 3 min Lesedauer

Anfang des Jahres hatte ein Ethical Hacker behauptet, eine kritische Schwachstelle in den Sysinternals-Tools von Microsoft gefunden zu haben. Doch der Hersteller sah darin nur ein „Defense-in-Depth-Problem“. Nun gibt es dasselbe Problem auch in einem der Microsoft PowerToys.

Die PowerToys von Microsoft dienen dazu, Windows anzupassen. Ein ethischer Hacker will im ZoomIT-Tool eine Zero-Day-Schwachstelle gefunden haben.(Bild: Midjourney / KI-generiert)
Die PowerToys von Microsoft dienen dazu, Windows anzupassen. Ein ethischer Hacker will im ZoomIT-Tool eine Zero-Day-Schwachstelle gefunden haben.
(Bild: Midjourney / KI-generiert)

Ende Januar 2025 erreichte die Redaktion des Security-Insiders ein Schreiben von Raik Schneider, selbstständiger Sicherheitsexperte und Ethical Hacker, in dem er behauptet, eine kritische Schwachstelle in nahezu allen Sysinternals-Tools gefunden zu haben. Einige Monate später meldete sich Schneider erneut, er habe erneut eine Zero-Day-Schwachstelle entdeckt. Diesmal in dem Tool ZoomIt. Beide erlauben Dynamic Link Library (DLL) Hijacking.

Bei den Microsoft PowerToys handelt es sich um eine Reihe von Hilfsprogrammen, mit denen Nutzer die Windows-Benutzeroberfläche anpassen und optimieren können. Seit dem 29. Januar 2025 ist auch das Tool ZoomIt Teil der PowerToys. ZoomIt dient bei technischen Präsentationen und Demonstrationen dazu, den Bildschirm aufzuzeichen, darauf zu zoomen und Anmerkungen zu machen.

Fehler beim Laden von DLLs

Nachdem Schneider die erste Sicherheitslücke, die die Sysinternals-Tools betrifft, am 28. Oktober 2024 an Microsoft gemeldet habe, veröffentlichte der White Hat Hacker, nachdem 90 Tage verstrichen waren, am Disclosure-Tag seinen Bericht über die Zero-Day-Schwachstellen in der Microsoft Sysinternals Suite. Am 15. Mai 2025 folgte ein Beitrag über die gleiche Sicherheitslücke in ZoomIt.

Bei beiden entdeckten Sicherheitslücken geht es Schneider zufolge darum, wie die Tools DLL-Dateien laden. Im Falle der Sicherheitslücke von Januar würden viele Anwendungen das Current Working Directory (CWD) durchsuchen oder andere definierte Pfade, bevor sie auf vertrauenswürdige Systempfade zugreifen. Dies ermögliche es Angreifern jedoch, schädliche DLL-Dateien im gleichen Verzeichnis wie die ausführbare Datei zu platzieren, die dann unbemerkt geladen würden.

Konkret könne ein Cyberangreifer eine schadhafte DLL-Datei zusammen mit einer legitimen Anwendung wie „Bginfo.exe“ auf einem Netzwerkspeicherplatz ablegen. Würde ein Benutzer die Anwendung von diesem Verzeichnis aus starten, würde die schadhafte Dynamic Link Library geladen und der Code des Angreifers innerhalb der Anwendung ausgeführt. Dies könne zu einer vollständigen Kompromittierung des Systems führen. Und auch bei der jüngst entdeckten Schwachstelle bestehe die Gefahr, dass präparierte DLLs aus dem Arbeitsverzeichnis geladen werden, ohne dass die Angabe der Pfad und eine Signaturprüfung erfolgen würden.

Microsofts Reaktion

Schneider erhielt auf beide Meldungen Antwort von Microsoft. Doch der Hersteller habe in beiden Fällen argumentiert, es handle sich nicht um Sicherheitsrisiken im klassichen Sinne. Die erste Schwachstellen sei nur ein „Defense-in-Depth-Problem“, welches somit nicht als kritisch eingestuft wurde, wie Schneider es empfohlen hatte. Doch Microsoft habe sich Schneider zufolge nur auf das Programmverzeichnis bezogen, Schneider jedoch auch auf Netzlaufwerke, welche in seinem untersuchten Fall zum CWD für die Anwendung wurde. Ein Security Advisory, welches das DLL Planting als Defense-in-Depth-Problem beschreibt, hat Microsoft bereits 2018 veröffentlicht. Damals schrieb der Hersteller, dass ein DLL-Planting-Problem, welches in die Kategorie des CWD-DLL-Plantings falle, als Problem mit der Schwere „Wichtig“ behandelt würde und ein Sicherheitspatch dafür bereitgestellt werde. Schneider zufolge sei die Schwachstelle nach wie vor ausnutzbar, obwohl Microsoft antwortete, sich mit niedriger Priorität darum kümmern zu wollen.

Workaround und Schutz vor DLL-Hijacking

Auf seinem Youtube-Kanal ging der Sicherheitsexperte schon Ende Januar näher auf die Kommunikation mit Microsoft und das nach wie vor bestehende Sicherheitsrisiko ein. Außerdem stellte er in seinem Blog-Beitrag Maßnahmen zur Absicherung bereit, die Administratoren und Benutzer ergreifen können:

  • Tools nicht direkt von Netzwerkspeichern ausführen. Stattdessen sollten Nutzer die ausführbaren Dateien auf einen lokalen Pfad kopieren.
  • Schneider empfiehlt, Sicherheitslösungen zu verwenden, die sicherstellen, dass nur vertrauenswürdige DLLs geladen werden.
  • Außerdem sollten Sie Ihre Umgebung auf betroffene Tools überprüfen. Dafür stellt Schneider ein Test-Sheet bereit, mit dem Nutzer anfällige Anwendungen identifizieren können.

Einen Workaround, wie das unerwünschte Laden von DLLs beschränkt werden kann, stellt Schneider in seinem zweiten Video, in dem er die neueste Zero-Day-Schwachstelle bei Microsoft erläutert, ebenfalls zur Verfügung:

(ID:50426305)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte