Sicherheitsleck: Google-Hack lief über Lücke beim Internet Explorer

Von

Der Hacker-Angriff auf Google schockiert die Tech-Branche, selten zuvor gingen Angreifer mit einer solchen Raffinesse vor. Jetzt zeigt sich, dass Google auch über ein bisher unbekanntes Sicherheitsleck im Internet Explorer angegriffen wurde.

Internet Explorer: Eine Lücke im Microsoft-Browser soll den Google-Hack ermöglicht haben Zur Großansicht

Internet Explorer: Eine Lücke im Microsoft-Browser soll den Google-Hack ermöglicht haben

Bei den Angriffen auf die Computersysteme von Google wurde offenbar eine bislang unbekannte Lücke, ein sogenanntes "Zero-Day-Exploit", in Microsofts Internet-Explorer ausgenutzt. Das geht aus Angaben hervor, die Microsoft und das Security-Unternehmen McAfee kurz vor Veröffentlichung eines entsprechenden Blog-Eintrages von Microsoft machten.

Es ist die zweite schwere Browser-Sicherheitslücke, die innerhalb weniger Tage öffentlich wird. Dem sogenannten Security Bulletin MS10-001 von Microsoft ist zu entnehmen, dass erst am 12. Januar eine Sicherheitslücke geschlossen wurde, die neben dem Internet Explorer auch Office-Programme von Microsoft betrifft sowie alle gebräuchlichen Microsoft-Betriebssysteme. Beide Probleme werden als gefährlich ("critical") eingestuft, weil über sie Angreifer potentiell die Kontrolle über einen befallenen Rechner übernehmen könnten. Sprich: Sie schaffen Einfallstore für Trojaner und Fernsteuerungssoftware.

Gemeldet wurden beide Sicherheitslecks nach Microsoft-Auskunft von Google. In einem Blog-Post des Microsoft Security Centers bestätigt dessen Chef Mike Reavey in Bezug auf den neuesten Zero-Day-Exploit den Zusammenhang mit der von Google öffentlich gemachten Attacke, hinter der angeblich chinesische Hacker stehen sollen. Ob dies auch für das für das am Dienstag gemeldete Exploit gilt, das OpenType-Schriften als Einfallstor nutzt, ist nicht geklärt.

Die aktuelle Sicherheitslücke sei "einer der Ansätze eines ausgeklügelten, zielgerichteten Angriffs gegen Google und andere Firmennetze", heißt es bei Microsoft. Es gebe bisher keine Informationen, dass Privat-PC betroffen seien, die Angriffe seien sehr "zielgerichtet" und auf spezifische Ziele "limitiert" gewesen.

WICHTIGES UPDATE: Die im Hack genutzte Sicherheitslücke im Internet Explorer ist - anders als zuerst gemeldet - nach wie vor offen. Bis zur Veröffentlichung eines Patches empfiehlt Microsoft dringend, den Internet Explorer im so genannten "Protected Mode" zu betreiben und die Sicherheitseinstellungen auf "Hoch" zu setzen.

Angriffe mit nie dagewesener Raffinesse

Wie genau der Angriff ablief, will im Augenblick keines der betroffenen Unternehmen verraten. In Telefonkonferenzen mit Security-Experten von Google am Donnerstag und Freitag verwiesen diese gegenüber SPIEGEL ONLINE stereotyp darauf, dass Google sich aufgrund "laufender interner Ermittlungen" nicht zu Einzelheiten der Hack-Attacken äußern werde. Ein Unternehmenssprecher bestätigte immerhin, dass in die Ermittlungen auch nicht näher spezifizierte US-Behörden involviert seien.

Die Hacks haben - auch losgelöst von Googles Schritt, China in dieser Sache zu konfrontieren - in der Branche eine Menge Unruhe verursacht. "Wir haben noch nie Angriffe mit einer solchen Raffinesse im kommerziellen Raum gesehen", sagte Dmitri Alperovitch, Security-Experte bei McAfee, der Nachrichtenagentur Reuters: "Wir kennen so etwas bislang nur aus dem Regierungssektor."

So soll der Hack via Microsoft-Lücke gelaufen sein

McAfee war nach Unternehmensangaben in der letzten Woche von mehreren großen Firmen angesprochen worden, nach einer Lösung für das Problem zu suchen. Die Namen seiner Auftraggeber nannte Alperovitch nicht. Bekannt ist, dass im Dezember rund 35 große Tech-Unternehmen unter massiven Hack-Beschuss gerieten. Ob diese Attacken mit dem gleichen Instrumentarium ausgeführt wurden, ist nicht bekannt: Wohl aber, wie das Leck eingesetzt wurde: Nach Informationen von McAfee arbeiteten die Angreifer mit klassischen Phishing-Methoden.

Angestellte hätten E-Mails erhalten, die sie dazu bringen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite, hätte dann für die Infiltration des Rechners genügt - eine typische Drive-By-Infektion.

Das galt auch für die bis Dienstag offene Sicherheitslücke, die auf OpenType-Schriften beruhte. Laut Microsoft hätte in diesem Fall der Einbruch verhindert werden können, wenn die Sicherheitseinstellungen des Browsers auf höchste Stufe eingestellt gewesen wären. Das freilich gleicht einem Schwarzer-Peter-Spiel: Es verschiebt einen Teil der Verantwortung zum Betroffenen.

Die aktuelle Microsoft-Sicherheitslücke ist dagegen eine klassische Browser-Lücke, die auf dem Prinzip beruht, dass aus der Surf-Software heraus Programmcodes aufgerufen werden können. Bei der OpenType-Lücke ist das anders: Sie betrifft ein weit verbreitetes, plattformübergreifendes, auch unter Linux und Mac OS X eingesetztes und zusammen mit Adobe entwickeltes Schriftformat. Es geht um sogenannte "Embedded OpenType Fonts", also in Dokumente wie beispielsweise Websites oder E-Mails eingebettete OpenType-Schriften. Dabei geht es um Schriftsätze, die mehr Flexibilität und typografische Möglichkeiten bieten als herkömmliche Font-Sätze: Sie lassen sich skalieren, stellen mehr und andere Sonderzeichen dar, bieten Schriftgestaltungsmöglichkeiten.

Angriffspunkt der Schadsoftware war in dem Fall die für die Dekodierung der Schriften eingesetzte Rendering-Engine, die nicht nur im Explorer zum Einsatz kommt - die Lücke betrifft auch Office und Powerpoint. Die eingesetzte Methode erinnert an die bekannten PDF-Exploits: Auch hier wird im Verlauf eines Dekodierungs- und Dekomprimierungsprozesses eingeschleuste Schadsoftware "montiert" und aktiviert. OpenType-Schriften enthalten Metadaten, die erweiterte typografische Möglichkeiten für diese Fonts ermöglichen. Offenbar ist es gelungen, in diesen Zusatzdaten zum Font Schadcodes zu verstecken.

Ob auch diese Methode bei dem Google-Hack zum Einsatz kam, ist nicht bekannt: Das Sicherheitsproblem wurde Microsoft jedenfalls von Google gemeldet.

Außergewöhnlich gut versteckter Angreifer

Doch auch, wenn das aktuelle Browserleck konventioneller erscheint, schockiert es die Experten: Ungewöhnlich sei vor allem die Qualität des Angriffs, heißt bei McAfee. Die Schadsoftware sei höchst effektiv verborgen worden, eine ganze Reihe von Verschleierungs- und Verschlüsselungstechniken sei zum Einsatz gekommen. Durch so etwas zeichneten sich gemeinhin eher "Angriffe von staatlicher Seite" aus, zitiert die Nachrichtenagentur AFP einen der Viren-Analysten. Kriminelle Hacks seien viel nachlässiger: Die Attacke sei die bestgeplante, bestgetarnte und bestausgeführte gewesen, die man bei McAffee bisher gesehen habe.

Möglicherweise Mehrmethodenangriff

Weiterhin kann allerdings nicht ausgeschlossen werden, dass auch andere Schadsoftware-Hebel angesetzt wurden. Aktuell kursieren Informationen über drei verschiedene Angriffsmethoden. Neben den bereits öffentlich diskutierten Möglichkeiten einer Attacke via PDF-Exploit, die auch SPIEGEL ONLINE bisher für die wahrscheinlichste Methode hielt, und der nun öffentlich gewordenen Microsoft-Schwachstelle gibt es auch Hinweise darauf, dass es im fraglichen Zeitraum Hack-Versuche über eine in Flash-Dateien eingebundene Schadsoftware gegeben haben soll.

Möglich ist alles, unwahrscheinlich nichts davon - solche Schadsoftware-Attacken laufen zu jedem gegebenen Zeitpunkt tausendmal am Tag ab: Wer im Augenblick genau genug hinsieht, wird eine Vielzahl von Attacken und mögliche Erklärungen dafür finden. Bis sich Google und andere Betroffene klar äußern, sind alle Informationen nur Indizien.

Microsoft wettert gegen Googles Rückzug

Adobe fühlt sich nach der Veröffentlichung der Microsoft-Informationen jedenfalls entlastet. In einem Firmenblog-Posting bestätigt Brad Arkin von Adobe zwar nicht, dass auch sein Unternehmen von der aktuellen Lücke betroffen gewesen sei, verweist aber auf die entsprechende Analyse von McAfee als "bisher beste" Information, die Adobe zu diesem Thema bekannt sei. Wie McAfee habe Adobe bisher "keinen Hinweis darauf gefunden", dass die Attacke unter Ausnutzung eines PDF-Zero-Day-Exploits geschehen sei. Der letzte Schwachpunkt sei zudem seit dem 12. Januar beseitigt worden, Nutzer sollten auf jeden Fall ein Update ihrer Adobe-Reader vornehmen.

Googles spektakuläre Rückzugsdrohung aus China trifft derweil beim größten Konkurrenten Microsoft auf wenig Verständnis. Microsoft-Chef Steve Ballmer sagte der Nachrichtenagentur Reuters, für Microsoft komme ein Rückzug aus China, wie er von Google erwogen wird, nicht in Frage. "Es gibt jeden Tag so viele Angriffe. Ich glaube nicht, dass das ungewöhnlich ist, daher verstehe ich den Schritt nicht", kommentierte er Googles Drohung. "Ich verstehe nicht, was das bringen soll. Ich verstehe nicht, wie uns das hilft. Und ich verstehe nicht, wie das China hilft."

mit Informationen von AFP und Reuters

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskussion über diesen Artikel
insgesamt 5 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Verblüffend...
Bruno Loedmann 15.01.2010
...wie wenig Steve Ballmer weiss. Gruss, B. Loedmann
2. Klasse.
sverris 15.01.2010
Haben also bei allerlei großen Hightechunternehmen die achso qualifizierten Mitarbeiter von unbekannten Sendern unbekannte Emails mit unbekannten Links bekommen, und genügend nutzen den nur allzubekannten IE, und klicken auch noch auf einen unbekannten Link. Nichts mit Firewalls, Mailfiltern, Antivirusprogrammen, vorsichtigen Umgang mit fremden Emails, sicheren Browsern? Und das sind die Firmen, denen wir tagtäglich unsere Informationen anvertrauen? Und jetzt sich rausreden, es sei ein ausgeklügelter Angriff gewesen? Große Klasse.
3. Wer benutzt schon den IE?
Pinarello 15.01.2010
Zitat von sysopDer Hacker-Angriff auf Google schockiert die Tech-Branche, selten zuvor gingen Angreifer mit einer solchen Raffinesse vor. Jetzt zeigt sich, dass Google auch über ein bisher unbekanntes Sicherheitsleck im Internet-Explorer angegriffen wurde. Die Schadsoftware wurde in Schriften versteckt. http://www.spiegel.de/netzwelt/web/0,1518,672103,00.html
Na ja, immer das gleiche, welcher auch nur annähernd intelligente Internetuser benutzt denn schon den Internet Explorer? Die Strafe folgte auf den Fuß, würde meine Großmutter sagen.
4. IE ist nicht totzukriegen
Schalke 15.01.2010
Zitat von PinarelloNa ja, immer das gleiche, welcher auch nur annähernd intelligente Internetuser benutzt denn schon den Internet Explorer?
Beispielsweise das Heer der Millionen und Abermillionen PC-Arbeitskräfte, die über ihre IT die Software zentral zugeschaufelt bekommen. Selbst wenn die privat auf dem PC alle mit Firefox oder zumindest non-MS-Produkten unterwegs sind, haben sie in der Firma meistens keine andere Wahl, wenn der Rechner zentral betankt und gemanagt wird.
5. Wer benutzt IE?
bumbu 16.01.2010
Zitat von SchalkeBeispielsweise das Heer der Millionen und Abermillionen PC-Arbeitskräfte, die über ihre IT die Software zentral zugeschaufelt bekommen.
Genau das ist aber bei Google keine allzu wahrscheinliche Option. Die haben doch Chrome...
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 5 Kommentare
Der Internet Explorer ist der meistverbreitete Browser auf dem markt, in Deutschland dominiert er aber nicht mehr unangefochten Zur Großansicht
Fittkau & Maaß

Der Internet Explorer ist der meistverbreitete Browser auf dem markt, in Deutschland dominiert er aber nicht mehr unangefochten


Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potentiell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.