{"id":883,"date":"2026-01-14T13:51:52","date_gmt":"2026-01-14T12:51:52","guid":{"rendered":"https:\/\/www.tippex.net\/?p=883"},"modified":"2026-01-14T13:51:55","modified_gmt":"2026-01-14T12:51:55","slug":"validitaet-einer-einer-signatur-ermitteln-bei-microsoft-files","status":"publish","type":"post","link":"https:\/\/www.tippex.net\/?p=883","title":{"rendered":"Validit\u00e4t einer einer Signatur ermitteln bei Microsoft Files"},"content":{"rendered":"\n

Wir hatten in der Firma gerade den Fall, dass unser AV angeschlagen hat bei der Datei „C:\\Windows\\SysWOW64\\PrintConfig.dll“, bzw. genauer gesagt wollte der Dienst „spoolsv.exe“ diese Datei via regsvr32.exe starten. Unser AV fand das verd\u00e4chtig. Dieser Vorgang wird, wenn er nicht legitime Ursachen hat, als DLL-Sideloading bezeichnet. Sprich, der b\u00f6se Akteur benennt eine sein malicious file so wie eine Systemdatei in der Hoffung, dass dies nicht auff\u00e4llt. Das der Akteur nicht \u00fcber einen g\u00fcltigen Signing Key von Microsoft verf\u00fcgt, wird bei \u00dcberpr\u00fcfung die der Datei dieses Unterjubeln auffallen. <\/p>\n\n\n\n

Mittels Powershell k\u00f6nnen wir herausfinden, ob die printconfig.dll von Microsoft korrekt signiert wurde<\/p>\n\n\n\n

Get-ChildItem -Path \"C:\\Windows\\SysWOW64\\PrintConfig.dll\" | Select-Object FullName, @{Name=\"SHA256\";Expression={(Get-FileHash $_.FullName).Hash}}, @{Name=\"Signature\";Expression={(Get-AuthenticodeSignature $_.FullName).Status}}<\/code><\/pre>\n\n\n\n
Das Ergebnis sieht dann in etwa so aus<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
In diesem Fall verf\u00fcgt die Datei \u00fcber eine g\u00fcltige Signatur. Es hat sich dann herausgestellt, dss der SHA256 Hashwert der Datei sich ge\u00e4ndert hat, da im Vorrang zu dieser Alarmmeldung Windows Updates eingespielt hat und dadurch die PrintConfig.dll ge\u00e4ndert wurde. Unser AV hatte aber noch den alten Hashwert und fand dieses Vorgehen dann verd\u00e4chtig. <\/p>\n","protected":false},"excerpt":{"rendered":"
Wir hatten in der Firma gerade den Fall, dass unser AV angeschlagen hat bei der Datei „C:\\Windows\\SysWOW64\\PrintConfig.dll“, bzw. genauer gesagt wollte der Dienst „spoolsv.exe“ diese Datei via regsvr32.exe starten. Unser AV fand das verd\u00e4chtig. Dieser Vorgang wird, wenn er nicht legitime Ursachen hat, als DLL-Sideloading bezeichnet. Sprich, der b\u00f6se Akteur benennt eine sein malicious file […]<\/p>\n","protected":false},"author":22,"featured_media":58,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,18,17,6,7,5,39],"tags":[123,51,122,120,101,121],"class_list":["post-883","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-anleitung","category-hacking","category-security","category-win10","category-win11","category-windows","category-windows-server","tag-dll-sideloading","tag-powershell","tag-printconfig-dll","tag-signatur","tag-signieren","tag-signing","wpbf-post"],"_links":{"self":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/users\/22"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=883"}],"version-history":[{"count":1,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/883\/revisions"}],"predecessor-version":[{"id":886,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/posts\/883\/revisions\/886"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=\/wp\/v2\/media\/58"}],"wp:attachment":[{"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tippex.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}