Hierzufred geht's NICHT um triviale (und in SICHEREN Verzeichnissen
installierte) Programme, sondern um Installations-Programme, die
typischerweise mit Administratorrechten laufen und in UNSICHEREN
Verzeichnissen gestartet werden.
Seit Anbeginn der Zeiten von MS-DOS und dessen Nachfolger Windows ist
. alias CWD im Suchpfad.
Die daraus resultierenden Schwachstellen sind seit ueber 20 Jahren
wohlbekannt und wohldokumentiert, u.a. im Auftrag der NSA: siehe
<http://www.blacksheepnetworks.com/security/info/nt/ntintrotosec.htm>.

Spaetestens nach <http://www.guninski.com/officedll.html> alias
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2000-0854> alias
<https://cwe.mitre.org/data/definitions/426.html> alias
<https://cwe.mitre.org/data/definitions/427.html> sowie
<https://capec.mitre.org/data/definitions/471.html>,
<https://blogs.msdn.microsoft.com/david_leblanc/2008/02/20/dll-preloading-attacks/>
<https://insights.sei.cmu.edu/cert/2008/09/carpet-bombing-and-directory-poisoning.html>
<https://blogs.technet.microsoft.com/srd/2009/04/14/ms09-014-addressing-the-safari-carpet-bomb-vulnerability/>,
<https://blogs.technet.microsoft.com/srd/2010/08/23/more-information-about-the-dll-preloading-remote-attack-vector/>,
<https://blogs.technet.microsoft.com/srd/2010/08/31/an-update-on-the-dll-preloading-remote-attack-vector/>,
<https://support.microsoft.com/en-us/kb/2264107> und
<http://www.binaryplanting.com/> sollte sie JEDER Windows-Programmierer
kennen.

Ebenso wohlbekannt und wohldokumentiert ist, dass das Anwendungsverzeichnis
an erster Stelle im Suchpfad steht.
Siehe <https://msdn.microsoft.com/en-us/library/ff919712.aspx>,
<https://msdn.microsoft.com/en-us/library/ms682586.aspx>,
<https://technet.microsoft.com/en-us/library/2269637.aspx>,
<https://support.microsoft.com/en-us/kb/2389418>,
<https://support.microsoft.com/en-us/kb/2533623> und
<https://blogs.technet.microsoft.com/srd/2014/05/13/load-library-safely/>
plus
<https://insights.sei.cmu.edu/cert/2016/06/bypassing-application-whitelisting.html>

Bei INSTALLIERTEN Programmen ist das Anwendungsverzeichnis sicher, bei
Installations-Programmen dagegen (typischerweise) NICHT!
Fuer letzteres siehe <http://seclists.org/bugtraq/2016/Jul/110> alias
<http://seclists.org/fulldisclosure/2016/Jul/63> sowie
<http://seclists.org/fulldisclosure/2017/Jun/34> und dessen FUENFZIG
Vorgaenger.
Findest Du CVE-2010-3190, CVE-2014-0315, CVE-2015-8264, CVE-2016-0014,
CVE-2016-0602, CVE-2016-0603, CVE-2016-1014, CVE-2016-1281, CVE-2016-1742,
CVE-2016-4247, CVE-2016-6804, CVE-2016-7085, CVE-2016-1000331,
CVE-2016-1000332, CVE-2016-7804, CVE-2017-2107 und CVE-2017-5688 selbst?
Oder <https://cwe.mitre.org/data/definitions/377.html> und
<https://cwe.mitre.org/data/definitions/379.html>?
Es ist DOKUMENTIERTES Verhalten, das Programmierer beachten MUESSEN und
beeinflussen KOENNEN: <https://skanthak.homepage.t-online.de/!execute.html>
beschreibt letzteres, auch fuer Dich!
Unter <https://skanthak.homepage.t-online.de/sentinel.html> und
<https://skanthak.homepage.t-online.de/verifier.html> findest Du mehr.
Falsch.
Microsoft hat diesen Fehler NICHT mit Absicht eingebaut; die NSA dagegen
hat den Fehler mit ABSICHT ausgenutzt und mit ABSICHT nicht an Microsoft
gemeldet. Anschliessend war die NSA unfaehig, ihre "Waffen" zu sichern.

Von WannaCry betroffen sind nur Leute, die ihre Systeme nicht ordentlich
warten: nach Veroeffentlichung der Luecke durch die "Shadow Brokers" war
voellig klar, dass diese ausgenutzt werden wuerde.

Microsoft hat die Korrektur VOR dieser Veroeffentlichung herausgegeben,
zwei Monate bevor WannaCry in Umlauf gebracht wurde.
Microsoft empfiehlt schon ETWAS laenger, SMB/CIFS nicht ueber's Internet
freizugeben, sowie SMB1 abzuschalten.

Stefan
[