Eine der unausgesprochenen Vereinbarungen zwischen Hackern, Anbietern von Sicherheitslösungen und den Herstellern von Betriebssystemen, Software und Services lautet: Man spricht nicht mit Dritten über eine entdeckte Zero-Day-Lücke. Diese bis zum Zeitpunkt der Entdeckung noch neue Bedrohung wird vom Entdecker ausschließlich an den jeweiligen Hersteller gemeldet. Dieser hat dann normalerweise circa 60 bis 90 Tage Zeit, entsprechende Gegenmaßnahmen zu treffen und die Lücke schnellstmöglich zu schließen. Erst dann wird der Vorfall publik gemacht.
Die Regel hat einen Sinn. Mit dem öffentlichen Bekanntwerden einer Sicherheitslücke fühlen sich normalerweise nicht nur Script Kiddies herausgefordert, alle möglichen Experimente zu starten. Je nach Brisanz wecken diese Löcher in den Sicherheitsmechanismen der Anbieter auch die besondere Aufmerksamkeit von professionellen Angreifern, die es im großen Stil auf das Attackieren betroffener Systeme abgesehen haben.
Gegen dieses Agreement zur Bewahrung von Stillschweigen hat Google nun zum wiederholten Male verstoßen. Die Sicherheitsexperten des Suchmaschinenriesen hatten eine Sicherheitslücke im Systemkern von Windows entdeckt, die – oh Wunder – auf auf einer Sicherheitslücke im Adobe Flash Player basiert. Unter dem Eintrag CVE-2016-7855 ist die Flash-Lücke bereits in der National Vulnerability Database (NVD) erfasst. Angreifer können Systeme mit Windows 7, Windows 8 oder Windows 10 mit Schadcode infiltrieren, die Sicherheitseinstellungen des Betriebssystems aushebeln und die Kontrolle über den Rechner übernehmen.
Am 21. Oktober übermittelte Google die Erkenntnisse über die Schwachstelle an Microsoft, zu diesem Zeitpunkt begann also die miteinander vereinbarte “Quarantänezeit”. Doch bereits am 31. Oktober, nur 10 Tage später, legte Google auf dem eigenen Security-Blog nach und veröffentlichte weitere Details zu dem brisanten Sicherheitsleck.
Microsoft zeigte sich alles andere als amüsiert über dieses Vorpreschen von Google und nutzte die Gelegenheit, die durchaus umstrittene Praxis einer frühen Veröffentlichung scharf zu kritisieren. Adobe habe die Sicherheitslücke über die automatische Update-Funktion bereits am 26. Oktober geschlossen, bis dahin seien also nur wenige Tage vergangenen. Die Aktualisierung eines Systemkerns sei aber wesentlich komplexer und nicht in einer derart kurzen Zeit durchzuführen, zumal neben der Programmierung auch noch entsprechende Kompatibilitätstest und ein koordinierter Rollout durchzuführen seien.
Microsoft hat mit seinen zum wiederholten Male geäußerten Bedenken eine Reihe von Sicherheitsexperten auf seiner Seite. Viele Fachleute vertreten die Auffassung, dass eine Veröffentlichung von Sicherheitslücken erst dann stattfinden solle, wenn ein Patch zur Verfügung stehe. Eine vorgezogene Veröffentlichung setze die Benutzer einem ungleich höheren Risiko aus.
Die 10 Betriebssysteme mit den meisten Sicherheitslücken (via cvedetails.com)
Name | Sicherheitslücken | |
01 | Mac OS X | 1664 |
02 | Linux Kernel | 1514 |
03 | iPhone OS | 977 |
04 | Debian Linux | 887 |
05 | OpenSuse | 776 |
06 | Ubuntu Linux | 749 |
07 | Windows Server 2008 | 739 |
08 | Windows XP | 727 |
09 | Windows Vista | 720 |
10 | Mac Os X Server | 639 |
Im vorliegenden Fall befürchtet Microsoft, dass Angreifer nun gezielt versuchen könnten, andere Wege zum Einschleusen von Schadcode zu finden. Da Adobe die Sicherheitslücke geschlossen hat, könnten diese Attacken auf anderen Wegen vorerst unerkannt bleiben und bis zu einem Patch des Betriebssystems eine unnötige Gefahr bedeuten. Terry Myerson, Executive Vice President für Microsoft’s Windows teilte unterdessen mit, dass Benutzer mit Windows 10, Microsoft Edge und dem Anniversary Update gegen alle Exploits abgesichert seien, die von Googles Sicherheitsexperten angeblich in freier Wildbahn gesichtet worden sind.
Hinter den bisher identifizierten Attacken sollen Mitglieder der Hacker-Gruppe “Strontium” stehen, die bevorzugt Systeme öffentlicher und militärischer Institutionen angreifen. Normalerweise werden dazu – ganz klassisch – über Monate hinweg Mails an eine Vielzahl von Accounts geschickt, die sich bei einer erfolgreichen Infektion weiterverbreiten und immer tiefer in den betroffenen Netzwerkstrukturen einnisten.
Lesenswert:
Verdammt, nun macht endlich dieses Windows 10 Upgrade!
Der Vorfall rückt erneut eine Problematik in den Fokus, der Microsoft mit dem zeitweise kostenlosen Upgrade auf Windows 10 begegnen wollte. Windows 7 befindet sich momentan immer noch auf rund 48% aller Systeme, Windows 8 und 8.1 kommen auf immerhin 2% bzw. 8%. Windows 10 hat mittlerweile einen Marktanteil von circa 23% erreicht. Microsoft muss also bei versionsübergreifenden Sicherheitslücken stets mehrere Kernel aktualisieren und entsprechende Sicherheitsupdates bereitstellen. Nicht zuletzt unter diesem Gesichtspunkt war das kostenlose Upgrade auf Windows 10 alles andere als eine reine Werbeaktion, dahinter standen eine knallharte Kosten-Nutzen-Analyse und der glaubhafte Wille, das eigene Ökosystem besser und schneller abzusichern.
Die frühzeitige Veröffentlichung der Sicherheitslücke durch Google wirkt umso unsinniger, wenn man den Ratschlag an die Benutzer liest. Diese sollen, so Google, auf einen Patch von Microsoft warten. Aha.