Microsofts außerplanmäßige Patches und eine unterbeschäftigte Ministerin sind das Thema dieses Standpunkt Sicherheit.

Redmonder Roulette

Was ist bei Microsoft los - beweisen die gerade, das ihnen die Sicherheit ihrer Kunden eigentlich doch egal ist? Das, was ich vorige Woche eigentlich nicht zu vermuten wagte, ist eingetroffen: Microsoft hat tatsächlich Patches für drei kritische Schwachstellen veröffentlicht, die schon am folgenden Tag auf der Black-Hat-Konferenz präsentiert wurden. Inzwischen wurde auch das Paper der Entdecker der Schwachstellen veröffentlicht (PDF). Ein bisschen mehr Vorlauf wäre schön gewesen.

(K)ein Grund zur Hektik?

Es ist ja nun nicht so, das diese Schwachstellen am Samstag entdeckt wurde, und am Montag während der Mittagspause haben sich die Entdecker überlegt "Hey, fahren wir doch morgen zur Red Hat und halten da mal einen Vortrag!" Ganz im Gegenteil, das hat sich über einen längeren Zeitraum entwickelt, wie es auch Ryan Smith, Mark Dowd und David Dewey in einem Blogeintrag schildern:

"The updates included in this release are the result of a lengthy and largely successful collaboration between us and Microsoft, ..."

In Microsofts Security Research & Defense Blog wurde die Veröffentlichung der Patches außer der Reihe folgendermaßen begründet:

While the vulnerability has been known to Microsoft for some time, additional information regarding these vulnerabilities has been growing over the past few weeks. And with the Black Hat and Def Con security conference getting people together around the same watering hole, natural curiosity means that risk to customers could increase as more information is disclosed. We’ve seen one active attack on an ATL vulnerability targeting the msvidctl.dll control. While all known attacks have been blocked with the release of MS09-032, rather than waiting for more risk and attacks on ATL vulnerabilities, we decided to proactively release these security updates to help protect customers and mitigate the risk in a more controlled manner. We believe the right thing to do is to help protect customers with out-of-band security updates in this unique situation where we anticipate the risk will increase before our next scheduled security update opportunity.

Das ist soweit ja ganz löblich, aber: Wieso keine 24 Stunden vor dem Vortrag? Die Konferenztermine waren seit langem bekannt, das die Schwachstellen dort präsentiert werden sollten ebenso, und die Angriffe über die Schwachstellen waren auch seit Anfang Juni bekannt. Die Schwachstellen dann so kurzfristig zu beheben, ist sehr ungeschickt. Oder waren die Patches nicht früher fertig? Dann sind sie es jetzt hoffentlich wirklich und enthalten nicht selbst Schwachstellen bzw. reißen neue auf.

Jetzt aber schnell...

Die extrem kurze Frist zwischen Bereitstellen der Patches und Veröffentlichung der Schwachstellen hat auf jedem Fall vielen Leuten Kopfzerbrechen bereitet, vor allem, weil das wirkliche Ausmaß der Schwachstellen immer noch nicht bekannt ist. Adobe und Cisco haben betroffene ActiveX-Controls gemeldet, wie viele weitere Hersteller noch betroffen sind, weiß kein Mensch. Angesichts des Potentials dieser Schwachstellen wurden vielerorts die Patches sehr schnell verteilt, oft ohne die sonst üblichen gründlichen Tests.

Das Ausnutzen lohnt sich!

Betrachten wir die Schwachstellen doch mal genauer: Wir haben zwei, die das Einschleusen von Code erlauben und für die Microsoft selbst mit funktionierendem Exploitcode rechnet. Und eine davon erlaubt nebenbei noch das Umgehen des Killbits. Das ist doch ein gefundenes Fressen für jeden Cyberkriminellen, der sich mit Drive-by-Infektionen beschäftigt: Erst das Killbit umgehen, dann Schadcode einschleusen, und das in einem Durchgang. Was ihm zu seinem Glück noch fehlt, sind betroffene ActiveX-Controls. Und die kann er ja automatisiert suchen. Z.B. gibt es einen kostenlosen Online-Test von Verizon Business, mit dem Entwickler ihre Controls testen können. Der kann zwar nur statisch gelinkten Code testen und die Ergebnisse sind laut Verizon auch nicht wirklich aussagekräftig, aber den Cyberkriminellen geht es ja nur darum, evtl. angreifbare Controls zu finden, um die dann näher zu untersuchen. Erkennt so ein einfacher Test eine Schwachstelle nicht, ist es ihnen ziemlich egal, ihnen reicht ja irgend ein angreifbares Control, während ein Entwickler mit ausreichender Sicherheit wissen will, ob genau sein Control betroffen ist oder nicht.

Cyberkriminelle sind nicht zwingend faul

Gehen wir ruhig mal davon aus, das die Cyberkriminellen die Patches sofort nach ihrer Veröffentlichung analysiert haben, um daraus auf die Schwachstellen und mögliche Angriffspunkte zu schließen. Die Präsentation auf der Black Hat und das inzwischen veröffentlichte Paper liefern ihnen weitere Anhaltspunkte. Sie werden also früher oder später sowohl betroffene ActiveX-Controls als auch Möglichkeiten zu einem Angriff darauf finden. Und was dann? Hoffentlich sind die "Defense-in-depth"-Maßnahmen im Internet Explorer wirklich ausreichend, und hoffentlich sind die Updates überall installiert, bevor es zu Angriffen über die Schwachstellen kommt. Denn das ist für lange Zeit der einzige Schutz vor einer Ausnutzung der Schwachstellen. Der zweite und sehr viel bessere Schutz, "keine betroffenen ActiveX-Controls", wird lange auf sich warten lassen.

Leichen im Speicher?

Sehen wir es doch mal realistisch: Wie viele Benutzer haben ActiveX-Controls auf ihren Rechnern, die sie irgendwann mal gebraucht und danach vergessen haben oder die bei einer Programminstallation mitinstalliert, aber nie genutzt wurden - fast alle? Solange es in den Controls keine Schwachstellen gab oder das Killbit gesetzt war, war das kein Problem. Aber jetzt sieht die Sache anders aus, jetzt haben wir da womöglich etliche tickende Zeitbomben - von denen der Benutzer meist nicht mal etwas ahnt. Und wie soll man die entschärfen? Welcher Benutzer installiert ein Update für ein Programm, das er nicht mehr nutzt? Und diesmal ist es nicht mal ein Programm, sondern nur ein irgend wann mal benutztes (oder im Rahmen einer Programminstallation installiertes und nie genutztes) ActiveX-Control. Und selbst bei noch verwendeten ActiveX-Controls kann man sich nicht darauf verlassen, das die ausgetauscht werden, bevor sie von einem Angreifer missbraucht wurden - es gibt genug Controls, die nur sehr selten verwendet werden und ansonsten in den Tiefen der Festplatte ruhen.

Schwarzmalen können nicht nur Innenpolitiker

Wenn schon schwarz sehen, dann tiefschwarz - was ist das schlimmste, was passieren könnte? Was Innenpolitikern recht ist, ist mir jetzt mal billig, und "Massengeiselnahmen" - dazu fällt mir auch was ein. Also, los gehts. Die Schwachstellen sind ja nicht in einem ActiveX-Control, sondern in einer davon verwendeten Library. Was spricht dagegen (Ruhe dahinten, belästigen Sie mich nicht mit Fakten, wenn ich einen Politiker nacheifere!), dass Cyberterroristen einen Exploit entwickeln, der die Schwachstellen unabhängig vom jeweiligen ActiveX-Control ausnutzen kann? So ein universeller Exploit wäre dann nicht aufzuhalten: Mit der einen Schwachstelle würde ein evtl. gesetztes Killbit umgangen, mit der anderen der Code eingeschleust - und danach wären alle Rechner Geiseln eines riesigen Botnets! Und damit wird dann womöglich ein Atomkrieg ausgelöst!

And now for something completely different...

Ministerin für alles und noch viel mehr

So, genug phantasiert. Nur noch kurz eine Frage: Für was ist eigentlich eine Familienministerin zuständig, oder genauer: Nicht zuständig? Kinderpornographie passt ja noch (auch wenn das Zensurgesetz dann vom Wirtschaftsministerium geschrieben wurde), aber die Schweinegrippe gehört doch wohl ins Ressort des Gesundheitsministeriums, oder? Immerhin fordert Frau von der Leyen diesmal keine Stoppschilder, sondern eine Bezahlung der Impfung durch die Krankenkassen. Und ihr neuester Streich: Stoppschilder vor "rechtswidrigen Inhalten". Wäre dafür nicht das Justiz- oder Innenministerium zuständig? Inzwischen hat sie aber zumindest aktuell nicht mehr die Absicht, Stoppschilder zu errichten.

Anscheinend hat man als 'Bundesministerin für Familie, Senioren, Frauen und Jugend' so viel Zeit, das man sich auch noch um die Gesundheit, Justiz und Inneres kümmern kann. Ob da jemand ein neues Superministerium haben möchte? Was Frau von der Leyens neueste Idee betrifft: Dazu gibt es einen wunderbaren Kommentar von Udo Vetter im law blog.

Carsten Eilers