Dipl.-Inform. Carsten Eilers

Microsoft bemüht sich, am morgigen Patchday auch einen Patch für die in der vorigen Woche bekannt gewordene 0-Day-Schwachstelle im IE 8 zu veröffentlichen:

"Of note, we are working to have the Internet Explorer Security Update address the issue described in Security Advisory 2847140, supplementing the currently available Fix it."

Innerhalb weniger Tage einen Patch zu entwickeln und ausführlich zu testen wäre eine beachtliche Leistung. Sollte es wirklich so kommen: Hut ab vor Microsoft. Ich halte es jedoch für wahrscheinlicher, dass der Patch nicht am morgigen regulären Patchday, sondern außer der Reihe veröffentlicht wird. Auch wenn diesmal "nur" der Internet Explorer 8 und nicht alle Versionen des IE betroffen sind, dürfte der Testaufwand noch beachtlich sein. Und die Tests sind i.A. viel aufwendiger als die Entwicklung eines Patches.

Update 14.5.2013:
Hut ab - Microsoft hat tatsächlich einen Patch veröffentlicht. Das zugehörige Security Bulletin ist MS13-038. Außer dem Patch für den IE 8 gibt es auch einen für den IE 9. Dort ist die Schwachstelle ebenfalls vorhanden, aber nicht ausnutzbar. Der Patch stellt nur eine defense-in-depth-Maßnahme dar, dementsprechend hat das für den IE 8 als kritisch eingestufte Update für den IE 9 auch keine Sicherheitseinstufung.

Das deutsche Security Bulletin enthält zur Zeit einen Fehler: Es beginnt mit

"Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Internet Explorer."

Korrekt ist natürlich die Information im englischen Security Bulletin:

"This security update resolves one publicly disclosed vulnerability in Internet Explorer."

Auch in der Übersicht im Security Research & Defense Blog steht es richtig:

"Addresses the issue that was first discovered as an exploit on the US Department of Labor website. Includes the IE8 mshtml.dll from MS13-037 + one additional fix for CVE-2013-1347."

Ende des Updates vom 14.5.2013

Testen dauert seine Zeit

So ein Patch ist meist schnell geschrieben, aber zu testen, ob er

1. die Schwachstelle wirklich behebt,
2. keine neuen Schwachstellen einführt und
3. keine Nebenwirkungen wie zum Beispiel Folgefehler in anderen Programmen hat

dauert Zeit. Es kann natürlich sein, dass Microsoft diese Schwachstelle schon länger kennt und der Patch bereits fertig und schon in der Testphase war, als es zu den ersten Angriffen kam. Aber auch dann kann man die Tests nicht beliebig beschleunigen oder verkürzen. Zur Erinnerung: Auch die im Rahmen der Operation Aurora für den Angriff auf Google ausgenutzte 0-Day-Schwachstelle im IE konnte damals relativ schnell behoben werden, da sie Microsoft bereits vor dem Angriff bekannt war (Angriffe Mitte Dezember 2009, Bekanntgabe durch Google am 13. Januar 2010, Patch am 21. Januar 2010). Ein Sicherheitsforscher hatte die Schwachstelle ebenfalls entdeckt und vertraulich an Microsoft gemeldet. Was natürlich nicht verhindern konnte, dass ein Dritter sie ebenfalls findet und eben nicht meldet, sondern auf dem Schwarzmarkt verkauft oder selbst für Angriffe ausnutzt.

Wer Schwachstellen geheim hält, handelt verantwortungslos

Das schreit jetzt eigentlich nach einer Argumentation pro und contra "Full Disclosure", also der Veröffentlichung von Schwachstellen nach ihrer Entdeckung und damit vor der Veröffentlichung eines Patches. Ich möchte aus gegebenen Anlass aber einen anderen Aspekt aufgreifen: Die Cyber-Kriegsführung, in der Exploits Waffen darstellen. Auch die Bundeswehr möchte da ja zu gerne mitspielen. Denn die aktuelle 0-Day-Schwachstelle wurde im Rahmen eines Wasserloch-Angriffs auf Angestellte der US-Regierung eingesetzt, die etwas mit Atomenergie oder Atomwaffen zu tun haben. Und da kommt als Angreifer ja eigentlich nur ein anderer Staat in Frage. Cyberkriminelle interessieren sich bekanntlich vor allem für Geld, weniger für Atomenergie oder -waffen.

Jeder, der eine Cyber-Aufrüstung ins Auge fasst, sollte dabei die Kehrseite der Medaille nicht übersehen: Wenn Exploits und damit die zugrunde liegenden Schwachstellen geheim zu haltende Waffen sind, werden die Schwachstellen natürlich nicht behoben. Und stehen damit auch jedem anderen Angreifer als Ziel zur Verfügung. Auch der jeweiligen potentiellen Gegenseite. Von normalen Cyberkriminellen ganz zu schweigen.

Cyberkrieg nutzt Cyberkriminellen

Kein vernünftiger Mensch wird so etwas wollen, dummerweise sind Sicherheitspolitiker meist eher unvernünftig. Aber man muss ganz klar sagen: Wer Schwachstellen vor den Entwicklern der jeweiligen Software geheim hält, gefährdet wissentlich und absichtlich die Nutzer dieser Software. Und damit, sofern es sich um Massenanwendungen oder -systeme handelt, einen Großteil der eigenen Bevölkerung und der eigenen Unternehmen. Nutzen Cyberkriminelle so eine Schwachstelle aus, sind die für die Geheimhaltung verantwortlichen an diesen Angriffe mit schuldig. Nicht das sie das groß stören wird, denn da das alles geheim ist erfährt ja sehr wahrscheinlich niemals irgend jemand davon.

Ein gutes Beispiel in diesem Zusammenhang sind Stuxnet und Co., vor allem Flame. Und das sogar im doppelten Sinne. Flame nutzte eine Schwachstelle aus, die für die Cyberkriminellen so etwas wie der Heilige Gral, ein Sechser mit Zusatzzahl, ein geknackter Jackpot im Las Vegas und sämtliche Feiertage mit Geschenken auf einmal ist: Die 0-Day-Schwachstelle in Windows Update. Die eigene Schadsoftware als angebliches Windows-Update an sämtlichen Schutzfunktionen vorbei zu schleusen - was kann es für einen Cyberkriminellen schöneres geben? Wir alle haben verdammtes Glück gehabt, dass diese Schwachstelle nicht von Cyberkriminellen, sondern von Cyberkriegern ausgenutzt wurde (und wir zufällig nicht das Ziel der Cyberangriffe waren). Und die Verantwortlichen haben Glück gehabt, dass die Schwachstelle nicht auch von Cyberkriminellen ausgenutzt wurde.

Was wäre, wenn...

Was wäre gewesen, wenn Cyberkriminelle diese Schwachstelle ebenfalls entdeckt hätten? Zum Beispiel, wenn sie eine Flame-Version in die Hände bekommen und analysiert hätten? Die Cyberkriminellen hätten sicher nicht gezögert, diese Schwachstelle auszunutzen. Das wäre irgendwann heraus gekommen, ebenso wie Flame entdeckt wurde. Und dann hätte irgend jemand in der US-Regierung, die bekanntlich hinter Flame steckt, erklären müssen, wieso denn die Cyberkriminellen eine Schwachstelle ausnutzen konnten, die zuerst in Flame verwendet wurde. Und wieso US-Bürger und US-Unternehmen Opfer eines Angriffs wurden, die die US-Regierung durch eine Meldung der Schwachstelle an Microsoft hätte verhindern können. Was für Ausreden denen wohl eingefallen wären? Und ob es dann Schadenersatzklagen gegen die US-Regierung gegeben hätte?

Wer Cyberkrieg unterstützt, unterstützt auch Cyberkriminelle!

Wer mit dem Feuer spielt, wird sich irgendwann die Finger verbrennen. Wer mit Exploits spielt, wird irgendwann selbst zum Opfer einer seiner geheim gehaltenen Schwachstellen. Regeln gegen einen Cyberkrieg halte ich für wenig zielführend, da sie im Zweifelsfall sowieso ignoriert werden. Vor allem, weil der Angreifer ja selten eindeutig identifizierbar ist.

Aber jeder, der Schwachstellen geheim hält, unterstützt damit die Gegenseite und die Cyberkriminellen. Das ist doch sicher in jedem Staat strafbar? Das Risiko einer Strafe ist sicher minimal, aber jeder Politiker, der die Geheimhaltung von Schwachstellen unterstützt, jeder Beamte, der sie fordert, muss sich den Vorwurf gefallen lassen, die jeweilige Gegenseite und die Cyberkriminellen zu unterstützen. Und das will doch sicher keiner, oder?

Carsten Eilers