• Drucken
• Senden
• Feedback

20.08.2010

Hamburg - Die Sicherheitslücke, über die die "Computerworld" seit Mittwoch berichtet, sorgte hinter den Kulissen schon seit März für Unruhe: Aufgefallen war sie zuerst in der Windows-Version von iTunes, Apple stopfte das Leck vor vier Wochen mit dem Programm-Update zu Version 9.2.1, das Problem schien damit gelöst. Jetzt aber, behauptet ein IT-Sicherheitsexperte, zeichne sich ab, dass das betreffende Leck in Wahrheit ein weit verbreitetes, generelles Sicherheitsproblem in für die Microsoft-Betriebssysteme geschriebenen Programmen sei.

HD Moore, Kopf der IT-Sicherheit bei Rapid7, einem kleinen, aber renommierten, auf das Aufspüren von Netzwerk-Sicherheitsverletzungen spezialisierten Unternehmen, hatte die bisher nur in Verbindung mit iTunes bekannte Sicherheitslücke näher unter die Lupe genommen. Bis zum Mittwoch fand er 40 Programme, die das gleiche Leck aufwiesen. Am Folgetag legte Acros Security, das slowenische Unternehmen, das im Frühjahr die Sicherheitslücke bei iTunes entdeckt hatte, nach. Schon über 200 betroffene Programme und Applikationen habe man gefunden, behauptet Acros-Chef Mitja Kolsek, es deute einiges darauf hin, dass "so gut wie alle Windows-Applikationen" betroffen sein könnten.

Moore stuft das Leck als Zero Day Exploit ein - als direkt einsetzbare Sicherheitslücke, gegen die Microsoft noch keinen Schutz entwickelt habe. Ob die Lücke schon ausgenutzt wurde, ist nicht bekannt. Das Nutzen des Lecks schätzen Moore und Kolsek einhellig als trivial ein, die Entwicklung eines Flicken hingegen als Mammut-Aufgabe: Im schlimmsten Fall brauche man für jedes der betroffenen Programme einen eigenen Flicken.

Ein Huckepack-Problem

Das Leck beruht offenbar auf einem grundsätzlichen Fehler, wie Windows sogenannte DLL-Dateien aus anderen Programmen lädt und verarbeitet. Im Fall der iTunes-Lücke konnten MP3-Dateien mit DLL-Dateien auf einem externen Server verbunden werden: Der Aufruf der MP3-Datei initiierte das Öffnen der potentiell Schadcode enthaltenen DLL. Auf diesem Prinzip fußt das Sicherheitsproblem auch grundsätzlich - es geht um die Verknüpfung einer als sicher eingestuften Datei mit einer DLL, die dann quasi huckepack Schadcode auf den Rechner des Opfers überträgt.

DLLs sind so genannte Bibliotheksdateien. Sie laden Daten und Informationen, die ein Programm zu seiner Ausführung braucht, in Form einer Datei aus, statt mit diesen Daten den Arbeitsspeicher permanent zu belasten. Abgerufen werden sie dann im Bedarfsfall. Windows-DLLs können dabei ausführbaren Programmcode enthalten - wer es schafft, dort Schadcode unterzubringen, agiert quasi unter der Haube des Betriebssystems. Möglich ist dann so gut wie alles vom schnüffelnden Zugriff auf das System, über das Nachladen beliebiger weiterer Schadprogramme bis hin zur Übernahme von Administratorenrechten - für IT-Experten das absolute Worst-Case-Szenario.

Warten auf eine Lösung

Microsoft wurde am Mittwoch informiert und untersucht das Problem. Zu den Einzelheiten wolle man sich nicht äußern, bis Ergebnisse vorlägen, heißt es von Seiten des Software-Unternehmens. Eine relative Funkstille halten auch die beiden Sicherheitsfirmen Acros und Rapid7: Welche Programme und Applikationen genau betroffen sind, verraten sie nicht. Acros hatte seine Analysen offenbar bereits seit März weiter vorangetrieben und hinter den Kulissen an Lösungen für einige der betroffenen Softwarefirmen gearbeitet.

Nach Einschätzung von HD Moore könnte es Microsoft gelingen, innerhalb relativ kurzer Zeit eine temporäre Lösung vorzulegen. Neue Informationen könnte es demnach bereits Anfang nächster Woche geben. Das grundsätzliche Problem jedoch sei schwerer zu lösen, seine Spuren, behauptete er in einem Posting, fänden sich möglicherweise bereits in zehn Jahre alten Programmversionen. Welche Windows-Versionen genau betroffen sind und ob dazu auch das neue, erfolgreiche Windows-7-Paket gehört, ist bisher nicht bekannt. Microsoft hatte erst vor zehn Tagen ein außerplanmäßiges Sicherheits-Update durchgeführt, mit dem eine rekordverdächtige Zahl von Lecks geflickt worden war.

Auch auf Anfrage von SPIEGEL ONLINE verwies Microsoft darauf, den Sachverhalt erst genau prüfen zu wollen, bevor man sich äußere.