Im Februar 2017 teilte Microsoft kurzfristig mit, dass der 'Patchday' auf März verschoben sei (siehe Ups, Patchday fällt heute aus, wegen Bugs …). Nun wird bekannt, dass die NSA eine Sicherheitslücke aus Angst vor einer Veröffentlichung durch die Hackergruppe Shadow Brokers an Microsoft meldete. Die von der NSA an Microsoft gemeldete SMBv1-Sicherheitslücke dürfte der Grund für den verschobenen Patchday gewesen sein .
Anzeige
Dass der Februar 2017-Patchday bei Microsoft kurzfristig ausfiel und die Auslieferung der Updates auf März 2017 verschoben wurde, hat schon Spekulationen ausgelöst. Ich hatte mal gefragt, ob die Server bei Microsoft gehackt worden seien (Verschobener Februar-Patchday – MS-Server kompromittiert?), lag aber wohl daneben.
Die NSA entwickelt Exploit
In Zeiten von Gruppen wie Shadow Brokers und WikiLeaks kommen die Schweinereien der Geheimdienste früher oder später ans Tageslicht. Spätestens seit März 2017 wissen wir, dass der US-Geheimdienst NSA Sicherheitslücken bei Windows sammelte. Und es ist bekannt, dass Informationen zu diesen Sicherheitslücken sowie Hacking-Tools der Geheimdienste in die Hände von Hackern gelangten. Die Hacker-Gruppe Shadow Brokers drohte, solche Informationen zu veröffentlichen und hat es dann auch getan. Die Folgen in Form der WannaCry-Ransomware-Infektion sind seit einer Woche bekannt.
Jetzt wurde in einem Artikel der Washington Post bekannt, was gelaufen ist. Ex NSA-Mitarbeiter haben wohl geplaudert und pikante Details verraten. Als die NSA den (bei WannaCry verwendeten) Exploit EternalBlue entwickelte, war den Verantwortlichen klar, welchen Sprengstoff sie da in Händen hielten. Sollte EternalBlue irgendwann in fremde Hände geraten, wäre dies der GAU und könnte Windows-Infrastrukturen extrem schwächen. Vor allem könnte sich EternalBlue gegen eigene Infrastrukturen richten, da diese ebenfalls mit Windows arbeiteten.
In der ersten Zeit, als ExternalBlue entwickelt worden war, erwies sich der Exploit noch als unzuverlässig. Der Einsatz musste daher von höchsten NSA-Stellen genehmigt werden. Als der Exploit mehr und mehr verbessert wurde, sank die Schwelle für den Einsatz.
Man diskutierte bei der NSA, ob die von ExternalBlue genutzte Sicherheitslücke, wegen der potentiellen Gefahr, an Microsoft gemeldet werden solle. Aber es passierte nichts, die NSA nutze EternalBlue fünf Jahre weiter – quasi mit dem Wissen 'Dynamit-Fischen zu betreiben', wie es ein Mitarbeiter ausdrückte. Die erbeuteten Geheimnisse hätten das gerechtfertigt, so die Aussage der Ex-Schlapphüte. So viel zur Frage 'Spionage und Wirtschaftsspionage' über US-Betriebssysteme, mal nebenbei angemerkt. Während dieser Zeit gab es übrigens mehrere kritische Sicherheitsvorfälle in Windows-Systemen.
Die NSA lässt die Hosen runter
Als dann ruchbar wurde, dass die Hacker-Gruppe Shadow Brokers NSA-Tools und Unterlagen erbeutete und diese veröffentlichen wolle, ging den Verantwortlichen der Arsch auf Grundeis. Im August 2016 hatte Shadow Brokers bereits einiges kritisches Material veröffentlicht (Sicherheitsinfos (20. August 2016)). Ab diesem Zeitpunkt muss den NSA-Verantwortlichen klar gewesen sein, dass auch Informationen zur bei WannaCry genutzten Sicherheitslücke sowie die Tools (z.B. ExternalBlue) zur Ausnutzung dieser Lücke darunter war.
Es gab Krisensitzungen bei Obama und es war klar, dass sich die Waffen auch gegen die US-Infrastruktur anwenden ließen. Das US-Verteidigungsministerium war plötzlich selbst potentiell mit seinen Windows-Systemen verwundbar. Die NSA begann dann US-Unternehmen über Sicherheitslücken zu informieren. Offenbar hat die NSA dann auch Microsoft gewarnt und über die Sicherheitslücke informiert, als klar war, dass auch EternalBlue darunter sei. Daher konnte Microsoft für März 2017 einen Patch für die noch unterstützten Sicherheitslücken entwickeln.
Ich interpretiere (ähnlich wie heise.de) den Artikel in der Washington Post so, dass die Warnung wohl im Februar 2017 so kurzfristig erfolgte, dass Microsoft sich entschloss, den Patchday ausfallen zu lassen. Erst als die SMBv1-Lücke geschlossen war, wurde der betreffende Patch im März 2017 veröffentlicht. Ich schrieb im Beitrag Ups, Patchday fällt heute aus, wegen Bugs ….: Ungefixt sind aktuell zumindest: dies SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server. Das erklärt auch, warum Microsoft nach dem Shadow Brokers-Leak fix Entwarnung für Windows geben konnte (siehe Shadow Browker: Geleakte NSA-Tools weitgehend unwirksam).
Anzeige
Leider wurde es von der NSA versäumt, über die Gefährlichkeit der Lücke zu informieren – so dass WannaCry sein Werk Monate später verrichten konnte. Ich denke, in den USA ist die Diskussion über das Agieren der NSA längst nicht abgeschlossen, zumal auch US-Unternehmen Schäden durch WannaCry davon trugen. Jetzt zu verbreiten, mit dem Umstieg auf Windows 10 sei man 'sicherer' halte ich für naiv. Durch die 18 Monate Supportzyklen für Windows 10-Builds wird das Problem eher noch verschärft.
Brisant: Patch für Windows XP verzögert
Ich hatte es ja im Beitrag WannaCrypt-Zwischenruf: Wir müssen reden … hatte ich bereits erwähnt, dass Microsoft den Patch für die SMBv1-Sicherheitslücke für Windows XP im Februar 2017 entwickelt haben musste. Der Patch wurde im März 2017 an Windows Embedded und an zahlende Kunden für Windows XP ausgerollt. ZDNet.com schreibt in diesem deutschen Artikel, dass Microsoft den Patch absichtlich für die Allgemeinheit zurückgehalten habe. Aktuell liegen die Gebühren für den erweiterten Support von Windows XP bei 1.000 US $ pro Rechner und Jahr, wobei mindestens 750.000 US$ fällig werden. Das Maximum wird bei 25 Millionen Dollar gekappt.
Ähnliche Artikel:
Sicherheitsinfos (20. August 2016)
Shadow Browkers: Geleakte NSA-Tools weitgehend unwirksam
Shadow Brokers Leak: NSA hat Banken über SWIFT gehackt
WikiLeaks enthüllt CIA Windows Spyware Framework Athena
Ransomware WannaCry befällt tausende Computer weltweit
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCrypt-Zwischenruf: Wir müssen reden …
2015
Mal kurz & simpel nachgedacht:
– "M$" und NSA sind jeweils die Nr. 1 in der "Branche" weltweit und bestimmen, wo es langgeht
– MS hat Auflagen der NSA Folge zu leisten und erhält im Gegenzug staatliche Rückendeckung zur Durchsetzung kommerzieller Interessen, die wiederum dem Staat zugute kommen
– MS "zickt" bezüglich Auflagen auffällig deutlich weniger herum, als beispielsweise Apple (obwohl auch die letztlich eingeknickt sind)
– das Handwerkszeug der NSA für politische, militärische und kommerzielle Spionage beruht hauptsächlich auf Sicherheitslücken vom MS's Betriebssystemen
– nachdem Teile der Seil- und Machenschaften Dank Shadow Browkers & anderen Leakern aufgeflogen sind, bricht Panik aus – hektische Betriebsamkeit und auffällige Gesprächigkeit der NSA und MS zaubert Patche mit einer Geschwindigkeit aus der Hinterhand, wie nie zuvor (und auch nicht wie je für möglich gehalten)
Gut … das sind jetzt keine geistigen Blitze, zugegeben, denn dafür interessiert mich der Scheiß einfach nicht im Detail. Aber die Win-Win-Situation scheint mir mit etwas Abstand betrachtet – und wenn ich die trübe Brühe ganz nach unten durchtröpfeln lasse – auf der Hand zu liegen. D.h., ich kann da kaum noch an Sicherheitslücken denken, die MS ungewollt unterlaufen sind, um zufällig von der NSA entdeckt- bzw. an MS gemeldet zu werden – und, klar, nachdem sie es notgedrungen zugeben müssen.