Dante Discovery

Die Schwachstelle steckt in der Komponente mDNSResponder.exe von Audinate Dante Discovery, einem Dienst, der Audiogeräte im Netzwerk auffindbar macht. Das Problem liegt darin, dass die ausführbare Datei nicht sauber festlegt, aus welchem Ordner und unter welchen Bedingungen sie eine zugehörige Programmbibliothek (DLL) lädt. Dadurch wird ein sogenanntes DLL-Sideloading möglich: Ein Angreifer platziert eine manipulierte DLL so, dass das legitime und vertrauenswürdige Programm sie anstelle der echten Bibliothek lädt und ausführt. Auf diesem Weg lässt sich über die Dante Application Library beliebiger Schadcode einschleusen. Voraussetzung ist ein lokaler Zugriff: Der Angreifer muss seine Datei zuvor auf dem System ablegen können. Da der eigentliche Programmstart durch eine echte, signierte Anwendung erfolgt, erscheint der Vorgang nach außen unauffällig, während im Hintergrund fremder Code mit den Rechten des Dienstes ausgeführt wird.