Microsoft hat am 04. August 2010 bestätigt, dass es durch Ausnutzen einer Schwachstelle möglich ist, Windows zum Laden von bösartig manipulierten Bibliotheken (DLL, Dynamic Link Library) zu zwingen. Vereinfacht ausgedrückt funktioniert die DLL-Hijacking oder auch Binary Planting genannte Attacke so: Wenn ein Anwendungsentwickler den Pfad zu einer DLL nicht festlegt, dann sucht Windows in verschiedenen Ordnern nach ihr, darunter auch im aktuellen Arbeitsverzeichnis. Das ist insbesondere dann der Fall, wenn die Applikation auf eine Bibliothek zugreifen will, die sich nicht auf allen Windows-Systemen findet. Bringt der Angreifer einen Anwender nun dazu, eine Datei – beispielsweise eine Powerpoint- oder MP3-Datei – von einem manipulierten Netzlaufwerk zu öffnen, wird das im gleichen Verzeichnis wie die Datendatei angelegte, bösartige DLL-File von einer anfälligen Anwendung ebenfalls ausgeführt.

Die Schwachstelle ist dabei nicht im Betriebssystem verborgen, sondern in der jeweiligen Windows-Anwendung: Wenn die Entwickler der Applikation nicht verhindern, dass beim Laden einer externen Bibliothek ein unzureichend qualifizierter Pfad zugelassen wird, dann wird das Programm unter Umständen zum Einfallstor. Experten schätzen, dass hunderte oder gar tausende Anwendungen anfällig sind für diese Art des Angriffs. Zu den prominenten Vertretern gehören beispielweise Varianten von Apple iTunes bis einschließlich Version 9.1, Winamp, VLC Player vor Version 1.1.4, Adobe Photoshop oder Microsoft Powerpoint. Inoffizielle Listen betroffener Anwendungen, die keinen Anspruch auf Vollständigkeit erheben, findet sich in den Blogs von Peter Van Eeckhoutte und Secunia. Wichtig zu wissen ist auch, dass die Lücke nicht vollautomatisch aus dem Web missbraucht werden kann. Vielmehr muss der  Nutzer des PCs auf den an ihn gesandten Link zur Datendatei klicken.

Prinzipiell ist die DLL-Preloading-Schwachstelle schon seit längerem bekannt. Microsoft wies in einem Blog-Eintrag bereits im Jahr 2008 darauf hin und erstmals beschrieben wurde ein ähnlicher Angriff bereits im Jahr 2000 von Georgi Guninski. Die neu aufgetauchte Attacke funktioniert aber nicht nur lokal, sondern lässt den Angreifer den Schadcode auch über ein von ihm kontrolliertes, im Internet befindliches Netzlaufwerk einschleusen. Englischsprachige Hintergrundinformationen zur Schwachstelle liefert das Security Research & Defense-Blog. Hinweise für Entwickler, wie diese die Schwachstelle aus ihren Anwendungen fernhalten können, gibt es ebenfalls von Microsoft.

Microsoft stellt auch ein Programm bereit, das die Windows-Registry automatisch modifiziert, um das Laden von DLLs über SMB- oder WebDAV-Shares zu verhindern. Vom Entwickler des Angriffs-Frameworks Metasploit, HD Moore, stammt ein Tool, mit dem Anwendungen auf ihre Anfälligkeit geprüft werden können.

In einem Blog-Eintrag legen die IT-Sicherheitsforscher von Acros dar, dass Anwendungen nicht nur bösartige DLLs untergeschoben werden können, sondern auch ausführbare Dateien (Exe-Files).