Microsofts Patchday, der 0-Day-Exploit im Internet Explorer und die geklauten Mikrofiches der Landesbank Berlin sind das Thema dieses Standpunkt Sicherheit.

Microsofts Patchday: 27 Schwachstellen weniger

Microsofts Patchday ist die einzige gute Nachricht in diesem Standpunkt Sicherheit. 27 Schwachstellen wurden behoben, darunter 23 als kritisch eingestufte. Das ist erst mal sehr gut, ohne jede Frage. Schlecht ist, das für einige davon das Erscheinen eines funktionsfähigen Exploits wahrscheinlich ist. Passend zur Jahreszeit könnte das nächste Woche eine unschöne Bescherung geben. Einige der Schwachstellen, für die Microsoft einen funktionsfähigen Exploit für möglich hält, befinden sich z.B. in ActiveX-Controls von Visual Basic, und damit sehr wahrscheinlich auch in einigen damit erstellten Programmen. Weitere Schwachstellen, für die funktionsfähiger Exploit-Code wahrscheinlich ist, befinden sich in Word, Excel und dem Internet Explorer. Mit Ausnahme der Schwachstelle in Excel alles Programme, die viele Leute auch auf ihrem Rechner zu Hause haben. Weihnachten liegt dieses Jahr so günstig, das viele an den Brückentagen Urlaub genommen haben. Da wird sicher auch mal im Internet gesurft, und wenn dann massenhaft Websites für Drive-by-Infektionen präpariert wurden oder sich ein Trojaner oder Wurm auf den Weg macht, könnte das unangenehm werden. Daher gilt diesmal noch dringender als sonst: Möglichst schnell alle Patches installieren.

Wenn etwas passiert, dürften diesmal Privatanwender das Hauptziel sein, denn während die Feiertagsbedingt zu Hause sind, passiert in den Unternehmen entsprechend weniger. Wenn niemand im Büro ist, kann auch niemand einen Trojaner öffnen oder auf eine infizierte Webseite surfen. Unschön ist in dem Zusammenhang eine einzige Schwachstelle, nämlich die im im SharePoint Server. Die kann aus der Ferne ausgenutzt werden, und Microsoft hat bei der Beschreibung eines Workarounds dummerweise auch für Angreifer nützliche Hinweise gegeben. Wird der Patch für diese Schwachstelle vor dem Weihnachtsurlaub nicht eingespielt, könnte es danach schon zu spät sein und der Server unter der Kontrolle eines Angreifers stehen.

Drei 0-Day-Exploits mehr

Das Bekanntwerden von drei 0-Day-Schwachstellen in Microsoft-Produkten dämpfte die Freude über die 27 am Patchday geschlossenen Schwachstellen deutlich. Die Schwachstelle im Microsoft SQL-Server ist unschön, aber durch das Entfernen der gefährdeten Stored Procedure recht gut beherrschbar. Die Schwachstelle im WordPad Text Converter ist schon deutlich gefährlicher, aber immerhin muss dazu noch eine präparierte Datei mit WordPad geöffnet werden. Aber da ist für einen geschickten Angreifer kein Problem, das sich nicht mit ein bisschen Social Engineering umgehen lässt. Vor allem, da die Schwachstelle für gezielte Angriffe ausgenutzt wird, was Social Engineering sehr erleichtert.

Die Schwachstelle im Internet Explorer ist eindeutig eine große Gefahr, so wie jede Schwachstelle, die ohne Aktion des Benutzer ausgenutzt werden kann. Einmal auf die falsche Seite gesurft, und der Rechner ist kompromittiert. Und falsch ist dabei möglicherweise jede Seite, denn auch diese Schwachstelle wird bereits über durch SQL-Injection infizierte harmlose Websites ausgenutzt. Wer sich mal ansehen möchte, wie das abläuft, findet in diesem Beitrag im Handler's Diary des ISC einen Link zu einem JavaScript-Skript, das eine HTML-Seite nachlädt, die eine HTML-Seite nachlädt, die dann versucht, verschiedene Schwachstelle auszunutzen - darunter auch die aktuelle 0-Day-Schwachstelle im Internet Explorer. Das man dem Link zur 1. HTML-Seite besser nicht mit dem Internet Explorer oder einem anderen Webbrowser folgt, dürfte klar sein. Im Blog von Sophos gibt es eine Übersicht über die verschiedenen ausgenutzten Schwachstellen.

Workaround: Das Web abschalten

Microsoft schlägt als einen Workaround vor, Active Scripting abzuschalten. Im Prinzip eine super Idee: Ohne JavaScript funktionieren die meisten Drive-by-Infektionen nicht, da dabei über JavaScript-Code die verschiedenen Exploits nachgeladen bzw. ausgewählt werden. Vor einigen Jahren hätte ich so eine Forderung sofort unterstützt. Dummerweise haben wir inzwischen das Web 2.0, inzwischen gibt es viele nützliche Anwendungen in JavaScript (und noch mehr unnütze, aber ist ist ein anderes Problem), auf die man nicht verzichten möchte - und viel zu viele Websites funktionieren ohne JavaScript gar nicht mehr. Das ist zwar äußerst ärgerlich, aber zumindest auf die Schnelle nicht zu ändern. Wer heutzutage JavaScript im Browser ausschaltet, hat sich damit zumindest aus einem Teil des Web katapultiert. Da ist der Wechsel zu einem anderen Browser die einfachere Lösung, auch wenn damit das grundsätzliche Problem nicht gelöst wird.

JavaScript - Eine Achillesferse des Web?

Während des Interviews auf der Ajax in Action hat mich Felix Schrader gefragt, was aus meiner Sicht ein Sicherheitssupergau wäre. Damals habe ich die Frage allgemein beantwortet, inzwischen weiß ich auch ein konkretes Beispiel: Was passiert, wenn irgendwann eine kritische Schwachstelle in den JavaScript-Implementierungen mehrerer Browser gefunden wird? Im Moment kann man einfach zu einem anderen Browser wechseln - aber was passiert, wenn mal alle weit verbreiteten Browser betroffen sind? Nicht nur der IE, sondern auch Firefox und Opera? Wenn wirklich nur noch "JavaScript abschalten" hilft? Vielleicht wäre es gar keine so dumme Idee, wenn alle Websitebetreiber ein bisschen darauf achten würden, das zumindest die Grundfunktionen ihrer Sites auch ohne JavaScript funktionieren. Denn was passiert, wenn alle Besucher für einige Tage oder sogar Wochen JavaScript ausschalten oder ganz wegbleiben, weil sie Seiten nicht mehr funktionieren? Wie lange überlebt ein Webshop ohne Kunden, eine rein werbefinanzierte Seite ohne Besucher? Zugegeben, das ist jetzt wirklich sehr schwarz gesehen - aber auch über so etwas sollte man besser vorher nachdenken als sich hinterher zu beklagen.

Datenschutzskandal zum wievielten?

Hat irgendwer mitgezählt? Eigentlich egal, der wievielte Datenschutzskandal der aktuelle bei der Landesbank Berlin (LBB) ist, schon einer ist einer zu viel. Dieser ist aber etwas merkwürdig: Der Frankfurter Rundschau wurde ein Paket mit Mikrofiches zugespielt. Der Inhalt: Kreditkartendaten aller Art. Laut Erklärung der LBB wurde das Paket wahrscheinlich bei einem Kuriertransport auf dem Weg vom Dienstleister Atos Worldline zur LBB entwendet. Das dürfte beim Dieb eine schöne Enttäuschung gewesen sein: Statt wertvoller Weihnachtsgeschenke nur ein Haufen Mikrofilme. Laut LBB enthielt das Paket "... keine Geheimnummern (PIN) [...], die den Zugriff auf Kreditkartenkonten von Kunden ermöglichen" bzw. nur "... 8 ungeöffnete PIN-Briefe (Post-Rückläufer) zu gesperrten Konten" (die argumentieren wie Politiker), die Frankfurter Rundschau hat nochmals bestätigt, das geöffnete PIN-Briefe darin lagen. Auf die Auflösung dieses Widerspruchs bin ich gespannt.

Die Mikrofiches dienen laut Erklärung der LBB der Archivierung: "Daten auf Mikrofilmen sind nur mit speziellen Geräten zu lesen, nicht so leicht zu kopieren und mit E-Mail zu verteilen." Soso, eine Lupe ist also ein spezielles Gerät. Wie gut ein Scanner sein muss, weiß ich nicht, aber auch das dürfte keine unüberwindliche Hürde sein. Und danach ist die E-Mail auch kein Problem mehr. Digitale Daten kann man verschlüsseln, Mikrofiches nicht. Mir fällt zur Zeit kein einziger Grund ein, digital vorliegende Daten auf Mikrofiches zu archivieren und erst recht keiner dafür, die dann ungeschützt durch die Gegend zu schicken. Angesichts der ganzen Ungereimtheiten bin ich gespannt, was da noch kommt.

Carsten Eilers