Sicherheitsleck: Google-Hack lief über Lücke beim Internet Explorer

Bei den Angriffen auf die Computersysteme von Google wurde offenbar eine bislang unbekannte Lücke, ein sogenanntes "Zero-Day-Exploit", in Microsofts Internet-Explorer ausgenutzt. Das geht aus Angaben hervor, die Microsoft und das Security-Unternehmen McAfee kurz vor Veröffentlichung eines entsprechenden Blog-Eintrages von Microsoft machten.

Es ist die zweite schwere Browser-Sicherheitslücke, die innerhalb weniger Tage öffentlich wird. Dem sogenannten Security Bulletin MS10-001 von Microsoft ist zu entnehmen, dass erst am 12. Januar eine Sicherheitslücke geschlossen wurde, die neben dem Internet Explorer auch Office-Programme von Microsoft betrifft sowie alle gebräuchlichen Microsoft-Betriebssysteme. Beide Probleme werden als gefährlich ("critical") eingestuft, weil über sie Angreifer potentiell die Kontrolle über einen befallenen Rechner übernehmen könnten. Sprich: Sie schaffen Einfallstore für Trojaner und Fernsteuerungssoftware.

Gemeldet wurden beide Sicherheitslecks nach Microsoft-Auskunft von Google. In einem Blog-Post des Microsoft Security Centers bestätigt dessen Chef Mike Reavey in Bezug auf den neuesten Zero-Day-Exploit den Zusammenhang mit der von Google öffentlich gemachten Attacke, hinter der angeblich chinesische Hacker stehen sollen. Ob dies auch für das für das am Dienstag gemeldete Exploit gilt, das OpenType-Schriften als Einfallstor nutzt, ist nicht geklärt.

Die aktuelle Sicherheitslücke sei "einer der Ansätze eines ausgeklügelten, zielgerichteten Angriffs gegen Google und andere Firmennetze", heißt es bei Microsoft. Es gebe bisher keine Informationen, dass Privat-PC betroffen seien, die Angriffe seien sehr "zielgerichtet" und auf spezifische Ziele "limitiert" gewesen.

WICHTIGES UPDATE: Die im Hack genutzte Sicherheitslücke im Internet Explorer ist - anders als zuerst gemeldet - nach wie vor offen. Bis zur Veröffentlichung eines Patches empfiehlt Microsoft dringend, den Internet Explorer im so genannten "Protected Mode" zu betreiben und die Sicherheitseinstellungen auf "Hoch" zu setzen.

Angriffe mit nie dagewesener Raffinesse

Wie genau der Angriff ablief, will im Augenblick keines der betroffenen Unternehmen verraten. In Telefonkonferenzen mit Security-Experten von Google am Donnerstag und Freitag verwiesen diese gegenüber SPIEGEL ONLINE stereotyp darauf, dass Google sich aufgrund "laufender interner Ermittlungen" nicht zu Einzelheiten der Hack-Attacken äußern werde. Ein Unternehmenssprecher bestätigte immerhin, dass in die Ermittlungen auch nicht näher spezifizierte US-Behörden involviert seien.

Die Hacks haben - auch losgelöst von Googles Schritt, China in dieser Sache zu konfrontieren - in der Branche eine Menge Unruhe verursacht. "Wir haben noch nie Angriffe mit einer solchen Raffinesse im kommerziellen Raum gesehen", sagte Dmitri Alperovitch, Security-Experte bei McAfee, der Nachrichtenagentur Reuters: "Wir kennen so etwas bislang nur aus dem Regierungssektor."

So soll der Hack via Microsoft-Lücke gelaufen sein

McAfee war nach Unternehmensangaben in der letzten Woche von mehreren großen Firmen angesprochen worden, nach einer Lösung für das Problem zu suchen. Die Namen seiner Auftraggeber nannte Alperovitch nicht. Bekannt ist, dass im Dezember rund 35 große Tech-Unternehmen unter massiven Hack-Beschuss gerieten. Ob diese Attacken mit dem gleichen Instrumentarium ausgeführt wurden, ist nicht bekannt: Wohl aber, wie das Leck eingesetzt wurde: Nach Informationen von McAfee arbeiteten die Angreifer mit klassischen Phishing-Methoden.

Angestellte hätten E-Mails erhalten, die sie dazu bringen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite, hätte dann für die Infiltration des Rechners genügt - eine typische Drive-By-Infektion.

Das galt auch für die bis Dienstag offene Sicherheitslücke, die auf OpenType-Schriften beruhte. Laut Microsoft hätte in diesem Fall der Einbruch verhindert werden können, wenn die Sicherheitseinstellungen des Browsers auf höchste Stufe eingestellt gewesen wären. Das freilich gleicht einem Schwarzer-Peter-Spiel: Es verschiebt einen Teil der Verantwortung zum Betroffenen.

Die aktuelle Microsoft-Sicherheitslücke ist dagegen eine klassische Browser-Lücke, die auf dem Prinzip beruht, dass aus der Surf-Software heraus Programmcodes aufgerufen werden können. Bei der OpenType-Lücke ist das anders: Sie betrifft ein weit verbreitetes, plattformübergreifendes, auch unter Linux und Mac OS X eingesetztes und zusammen mit Adobe entwickeltes Schriftformat. Es geht um sogenannte "Embedded OpenType Fonts", also in Dokumente wie beispielsweise Websites oder E-Mails eingebettete OpenType-Schriften. Dabei geht es um Schriftsätze, die mehr Flexibilität und typografische Möglichkeiten bieten als herkömmliche Font-Sätze: Sie lassen sich skalieren, stellen mehr und andere Sonderzeichen dar, bieten Schriftgestaltungsmöglichkeiten.

Angriffspunkt der Schadsoftware war in dem Fall die für die Dekodierung der Schriften eingesetzte Rendering-Engine, die nicht nur im Explorer zum Einsatz kommt - die Lücke betrifft auch Office und Powerpoint. Die eingesetzte Methode erinnert an die bekannten PDF-Exploits: Auch hier wird im Verlauf eines Dekodierungs- und Dekomprimierungsprozesses eingeschleuste Schadsoftware "montiert" und aktiviert. OpenType-Schriften enthalten Metadaten, die erweiterte typografische Möglichkeiten für diese Fonts ermöglichen. Offenbar ist es gelungen, in diesen Zusatzdaten zum Font Schadcodes zu verstecken.

Ob auch diese Methode bei dem Google-Hack zum Einsatz kam, ist nicht bekannt: Das Sicherheitsproblem wurde Microsoft jedenfalls von Google gemeldet.

Außergewöhnlich gut versteckter Angreifer

Doch auch, wenn das aktuelle Browserleck konventioneller erscheint, schockiert es die Experten: Ungewöhnlich sei vor allem die Qualität des Angriffs, heißt bei McAfee. Die Schadsoftware sei höchst effektiv verborgen worden, eine ganze Reihe von Verschleierungs- und Verschlüsselungstechniken sei zum Einsatz gekommen. Durch so etwas zeichneten sich gemeinhin eher "Angriffe von staatlicher Seite" aus, zitiert die Nachrichtenagentur AFP einen der Viren-Analysten. Kriminelle Hacks seien viel nachlässiger: Die Attacke sei die bestgeplante, bestgetarnte und bestausgeführte gewesen, die man bei McAffee bisher gesehen habe.

Möglicherweise Mehrmethodenangriff

Weiterhin kann allerdings nicht ausgeschlossen werden, dass auch andere Schadsoftware-Hebel angesetzt wurden. Aktuell kursieren Informationen über drei verschiedene Angriffsmethoden. Neben den bereits öffentlich diskutierten Möglichkeiten einer Attacke via PDF-Exploit, die auch SPIEGEL ONLINE bisher für die wahrscheinlichste Methode hielt, und der nun öffentlich gewordenen Microsoft-Schwachstelle gibt es auch Hinweise darauf, dass es im fraglichen Zeitraum Hack-Versuche über eine in Flash-Dateien eingebundene Schadsoftware gegeben haben soll.

Möglich ist alles, unwahrscheinlich nichts davon - solche Schadsoftware-Attacken laufen zu jedem gegebenen Zeitpunkt tausendmal am Tag ab: Wer im Augenblick genau genug hinsieht, wird eine Vielzahl von Attacken und mögliche Erklärungen dafür finden. Bis sich Google und andere Betroffene klar äußern, sind alle Informationen nur Indizien.

Microsoft wettert gegen Googles Rückzug

Adobe fühlt sich nach der Veröffentlichung der Microsoft-Informationen jedenfalls entlastet. In einem Firmenblog-Posting bestätigt Brad Arkin von Adobe zwar nicht, dass auch sein Unternehmen von der aktuellen Lücke betroffen gewesen sei, verweist aber auf die entsprechende Analyse von McAfee als "bisher beste" Information, die Adobe zu diesem Thema bekannt sei. Wie McAfee habe Adobe bisher "keinen Hinweis darauf gefunden", dass die Attacke unter Ausnutzung eines PDF-Zero-Day-Exploits geschehen sei. Der letzte Schwachpunkt sei zudem seit dem 12. Januar beseitigt worden, Nutzer sollten auf jeden Fall ein Update ihrer Adobe-Reader vornehmen.

Googles spektakuläre Rückzugsdrohung aus China trifft derweil beim größten Konkurrenten Microsoft auf wenig Verständnis. Microsoft-Chef Steve Ballmer sagte der Nachrichtenagentur Reuters, für Microsoft komme ein Rückzug aus China, wie er von Google erwogen wird, nicht in Frage. "Es gibt jeden Tag so viele Angriffe. Ich glaube nicht, dass das ungewöhnlich ist, daher verstehe ich den Schritt nicht", kommentierte er Googles Drohung. "Ich verstehe nicht, was das bringen soll. Ich verstehe nicht, wie uns das hilft. Und ich verstehe nicht, wie das China hilft."