Dipl.-Inform. Carsten Eilers

Am 10. Juni hat Tavis Ormandy auf der Mailingliste Full-Disclosure ein Advisory veröffentlicht, in dem er eine Schwachstelle im Windows Help and Support Center beschreibt. Die Funktion, die beim Aufruf eines hcp://-URL anhand einer Whitelist prüft, ob der URL erlaubt ist, lässt sich austricksen. Dadurch ist es möglich, beliebige Programme zu starten. So könnte z.B. Schadsoftware mit dem FTP-Client heruntergeladen und danach installiert werden. Ormandy hat als Proof-of-Concept einen Exploit veröffentlicht, der ohne Zutun des Benutzers den Taschenrechner startet. Um die Schwachstelle auszunutzen, muss ein Angreifer sein Opfer nur auf eine präparierte Webseite locken (oder z.B. präparierte Werbung verbreiten oder einen der in letzter Zeit so "beliebten" Clickjacking-Würmer entsprechend erweitern). Als Workaround kann der Handler für hcp://-URL deaktiviert werden, ein von Ormandy zusätzlich bereit gestellter (natürlich inoffizieller) Hotfix behebt laut einer Analyse von Secunia die Schwachstelle nicht vollständig. Microsoft hat ein Security Advisory veröffentlicht und eine Fix it-Lösung zum Deaktivieren des hcp://-Protokollhandlers bereit gestellt. Betroffen sind Windows XP SP2 und SP3 sowie Server 2003 SP2.

Ein Grund zur Aufregung?

Bis jetzt gibt es eigentlich keinen Grund, sich gross aufzuregen, 0-Day-Exploits sind ja (leider) ziemlich normal. Ein Grund für die Aufregung findet sich in Ormandys Advisory:

"Microsoft was informed about this vulnerability on 5-Jun-2010, and they confirmed receipt of my report on the same day.
[...]
Those of you with large support contracts are encouraged to tell your support representatives that you would like to see Microsoft invest in developing processes for faster responses to external security reports."

Am 10. ein Advisory samt Exploit zu veröffentlichen, nachdem Microsoft am 5. über die Schwachstelle informiert wurde und den Empfang der Meldung auch bestätigt hat, ist doch ein ziemlicher Schnellschuss. Was genau in diesen 5 Tagen passiert ist, weiß außer den Beteiligten niemand, und zumindest Tavis Ormandy will sich dazu nicht weiter äußern. Aber ich spekuliere einfach mal: Der 5. war ein Samstag, vermutlich hat Ormandy also nur eine automatische Bestätigungs-Mail bekommen, dass seine Mail empfangen wurde. Wer kennt sie nicht, diese netten "Wir haben Ihre Mail erhalten und jetzt belästigen Sie uns gefälligst erst mal nicht mehr"-Mails. Und danach war seitens Microsoft Funkstille. Angesichts der Tatsache, dass es sich um eine für Drive-by-Infektionen ausnutzbare Schwachstelle handelt, dürfte Ormandy wenig Geduld aufgebracht haben.

Ich stelle mir das ungefähr so vor: Am 5. (Samstag) die automatische Antwort, am Montag, den 7., keine Mail von Microsoft ("OK, die sortieren noch den Spam aus"), am 8. keine Mail ("Langsam wirds Zeit"), am 9. keine Mail - Microsoft scheint die Schwachstelle nicht ernst zu nehmen, sonst hätte es zumindest eine persönliche Reaktion gegeben. Wenn der Hersteller mauert, hilft nur "Full Disclosure", in diesem Fall in Form einer Mail an die Mailingliste Full-Disclosure. Zumal Ormandy einen Grund für seine Eile hat, den ich im obigen Zitat ausgelassen habe:

"Protocol handlers are a popular source of vulnerabilities, and hcp:// itself has been the target of attacks multiple times in the past. I've concluded that there's a significant possibility that attackers have studied this component, and releasing this information rapidly is in the best interest of security."

In meinen Augen ein nachvollziehbares Argument. Vor allem angesichts eines weiteren Fakts, zu dem ich gleich noch komme.

Kein Grund zur Aufregung!

Ob die schnelle Veröffentlichung der Schwachstelle nun nötig war oder nicht, überhaupt die gesamten Argumente für und gegen "Full Disclosure" oder "Responsible Disclosure" möchte ich an dieser Stelle ignorieren, dazu schreibe ich später vielleicht mal was, außerdem hat zumindest Robert Hansen einen anderen Grund gefunden, um sich aufzuregen: Tavis Ormandy arbeitet für Google, und Google tritt für "Responsible Disclosure" ein. Was Hansen zur Frage "Does Google Have a Double Standard on Full Disclosure?" bewegt (Gleicher Text in seinem Blog, mit natürlich anderen Kommentaren und Antworten von ihm).

Eigentlich komisch: Amerikaner sind doch eigentlich für Meinungsfreiheit, Unabhängigkeit etc. - wieso spricht Hansen dann in seinem Text immer von Google, wenn er Ormandy meint? Microsoft macht übrigens den gleichen Fehler. Oder wurde Google gar nicht von Larry Page und Sergei Brin gegründet, sondern von Tavis Ormandy? Das wäre mir neu, aber egal wie es ist: Was Ormandy in seiner Freizeit macht, ist ja wohl seine Angelegenheit und hat rein gar nichts mit den Einstellungen seines Arbeitgebers zu tun, oder? In einer Antwort auf einen Kommentar erklärt Hansen

"@anon - Yes, I read that and promptly ignored it. That’s like me saying I don’t speak for my company. When a member of Google’s security team works with other members of Google’s security team and releases a security vulnerability, and they mention Google’s website in the post as a resource to understand the threat… I’m going to go out on a limb and say it’s Google. If it’s not sanctioned by Google, then I suppose they’ll be firing all those involved, since that’s completely against their stated public policy…. or something. I’m not holding my breath."

Der angesprochene 'anon' hatte folgende Aussage in Ormandys Advisory zitiert: "Finally, a reminder that this documents contains my own opinions, I do not speak for or represent anyone but myself.", Hansen spielt darauf an, dass Ormandy sich bei 'lcamtuf' für Hilfe bedankt und auf dessen unter code.google.com gehostetes Browser Security Handbook verweist. 'lcamtuf' ist Michal Zalewski, der ebenfalls in Googles Security Team arbeitet.

Weder der Dank bei 'lcamtuf' noch das bei Google gehostete Handbuch sind in meinen Augen Beweise für eine Beteiligung Googles. Oder darf man in den USA keine Freunde haben, die im gleichen Unternehmen arbeiten? Ist es nicht sogar der Normalfall, dass man unter seinen Freunden den einen oder anderen Arbeitskollegen hat? Und was die dann in ihrer Freizeit machen, hat mit dem Arbeitgeber ja wohl nichts zu tun. Und was das Hosten des Handbuchs bei Google betrifft - code.google.com ist ein kostenloses Angebot an alle Entwickler, warum sollten ausgerechnet Google-Mitarbeiter es nicht für ihre eigenen Projekte nutzen? Und das "firing all those involved" dürfte auch schwierig werden, auch und gerade in den USA. "Du machst nicht, was ich Dir sage, Du bist entlassen" ist vielleicht noch ein Kündigungsgrund, aber mit einem "in deiner Freizeit" hinter dem "machst" klingt es eher nach der indirekten Ankündigung einer schön hohen Schadenersatzzahlung. Ormandy persönlich hält nichts von "Responsible Disclosure", wie er im Advisory schreibt:

"This is another example of the problems with bug secrecy (or in PR speak, "responsible disclosure"), those of us who work hard to keep networks safe are forced to work in isolation without the open collaboration with our peers that we need, especially in complex cases like this, where creative thinking and input from experts in multiple disciplines is required to join the dots."

Das widerspricht zwar Googles Meinung zu dem Thema, aber daran ist er in seiner Freizeit ja wohl nicht gebunden.

"Don't be evil" - also tue Gutes?

Hansen verweist auf Googles 'Code of Conduct', aber ich finde darin nichts, was Ormandys Aktion verbietet, zumal es auch die Aussage "Google is committed to advancing privacy and freedom of expression for our users around the world." gibt. Da wäre es doch merkwürdig, wenn man den eigenen Angestellten in deren Freizeit diese 'freedom of expression' verbieten würde, oder? Und was das "don't be evil" betrifft - Ormandy hielt es für notwendig, die Öffentlichkeit vor einer möglichen Gefahr zu warnen. Das ist gar nicht evil und sollte daher auf Googles Linie liegen.

Darf ich bei dieser Gelegenheit an eine andere Schwachstelle erinnern, die Microsoft im Rahmen der "Responsible Disclosure" gemeldet wurde - und der dann u.a. Google im Rahmen der Operation Aurora zum Opfer fiel, während Microsoft noch mit dem Entwickeln der Patches beschäftigt war? Gerade im Hinblick auf diesen Vorfall kann ich Ormandys Vorgehen sehr gut verstehen.

Wäre Google in diesem Fall "evil"...

... wären sie es richtig. Verschwörungstheorien müssen gut sein, sonst machen sie keinen Spaß. Würde Google hinter der Veröffentlichung der Schwachstelle stecken, hätten sie es sicher geschickter angestellt. Entweder so, dass niemand merkt, das Google dahinter steckt, z.B. indem sie die Mail anonym über irgend einen offenen Mailserver verschickt hätten, oder aber so, dass Microsoft richtig schlecht dar steht und Google sagen kann "Sehr her, Microsoft kümmert sich nicht um seine Benutzer, aber wir von Google helfen ihnen". So eine Aktion, wie Microsoft, Hansen und andere sie jetzt unterstellen, ist doch ziemlich dämlich und fällt eher auf Google zurück. Etwas mehr Geschick würde ich denen aber schon zutrauen.

Das eigentliche Problem

Nicht verstehen kann ich dagegen, warum ein entscheidender Punkt unter dem "Böses Google"-Geplärre untergegangen ist: Wieso rechnet Ormandy damit, dass die Schwachstelle bereits ausgenutzt werden könnte? Die letzten zwei Sätze im Advisory lauten "I'm sure Microsoft are dissapointed they missed this flaw. In their defense, I think there's a good chance I would have also missed this in code review." Vermutlich ist er also zufällig auf etwas gestoßen, dass seinen Verdacht erregt hat - etwas, was auch einem Cyberkriminellen passieren kann. Wäre die Schwachstelle nicht von Ormandy veröffentlicht worden, sondern von irgend jemand anderem (oder Ormandy unter einem Pseudonym), hätten sich viele auf diesen Punkt gestürzt: Was gibt es da Verdächtiges - und gibt es vielleicht noch mehr Schwachstellen? Den bösen Buben ist das Geplärre über Googles Bösartigkeit egal, die nutzen freudig die Schwachstellen aus, während die guten Jungs noch darüber streiten, ob die Schwachstelle nun mit oder ohne Googles Zutun entdeckt und/oder veröffentlicht wurde und ob Ormandy das durfte oder nicht.

Eine Frage habe ich da noch...

Gibt es nicht vielleicht einen guten Grund dafür, diese Schwachstelle zügig bekannt zu machen, damit Microsoft sich mit dem Patchen beeilt? Ganz unabhängig davon, wer die Schwachstelle wieso, weshalb, warum und in wessen Auftrag gefunden und/oder veröffentlicht hat?

Windows XP SP2 nähert sich seinem Lebensende, nach dem kommenden Patchday am 13. Juli gibt es keine weiteren Updates mehr. Ein doch wohl noch ziemlich weit verbreitetes System mit einer offenen kritischen Schwachstelle, für die es keinen Patch mehr gibt - das ist ja wohl etwas, auf das wir alle verzichten können, oder?

Fazit

Wenn Sie Windows XP oder Server 2003 einsetzen, nutzen Sie Microsofts Fix it-Lösung für den Workaround, und wenn Sie noch Windows XP SP2 verwenden, aktualisieren Sie das System möglichst bald auf SP3, damit Sie auch in Zukunft Sicherheitsupdates erhalten.

Carsten Eilers