Google verrät Windows-Lücken zwei Tage vor dem Patch, Microsoft tobt
Durch bisher unbekannte Lücken können sich Nutzer höhere Rechte verschaffen, als ihnen zustehen. Google hat die Lücken entdeckt und einen passenden Exploit veröffentlicht, da Microsoft erst nach der vorgesehenen Frist patcht. Microsoft ist wenig erfreut.
- Ronald Eikenberg
Wieder hat Googles Sicherheitsteam Details und einen Exploit zu Windows-Lücken veröffentlicht, die Microsoft noch nicht gepatcht hat. Wieder kann sich ein angemeldeter Nutzer durch die Schwachstellen höhere Rechte verschaffen, als ihm zustehen (Privilege Escalation). Und wieder hat Microsoft die von Google gesetzte Frist von 90 Tagen überschritten.
Und täglich grüßt die Windows-Lücke
Nur rund zwei Wochen sind vergangen, seitdem Googles Security-Spezialeinheit Project Zero einen Exploit für eine zuvor unbekannte Schwachstelle in Microsoft Windows herausgegeben hat. Auch die neuen Schwachstellen hat offenbar der Sicherheitsforscher James Forshaw entdeckt, der dazugehörige Eintrag im Project-Zero-Bugtracker ist auf den 13. Oktober vergangenen Jahres datiert. Forshaw schildert mehrere Probleme im Zusammenhang mit der Art und Weise, wie Windows beim Login das entsprechende Benutzerprofil initialisiert.
Exploit mit zwei Zeilen
Der von Foreshaw veröffentlichte Exploit erlaubt es Nutzern mit eingeschränkten Rechten, Dateien in den Windows-Ordner zu schreiben – eigentlich ist dies nicht zulässig. Großen Aufwand muss der Exploit nicht betreiben: Es handelt sich um eine Batch-Datei mit zwei Zeilen, die Werte in der Registry manipuliert.
heise Security konnte nachvollziehen, dass die Änderungen tatsächlich dazu führen, dass Windows beim nächsten Login einen neuen Unterordner im Windows-Verzeichnis anlegt. Ferner ist es laut Foreshaw leicht möglich, eine beliebige UsrClass.dat-Datei zu laden und so fremde Accounts zu übernehmen. Der Forscher beschreibt insgesamt vier Schwachstellen, die unter Windows 8.1 nachvollziehbar sind. Zumindest das UsrClass.dat-Problem soll auch Windows 7 betreffen, ferner soll es dort weitere, ähnliche Sicherheitsprobleme geben.
Microsoft spricht
Nachdem Microsoft die vor zwei Wochen bekanntgewordene Lücke nur sparsam kommentierte, ist dem Unternehmen nach der neuerlichen Veröffentlichung offenbar der Kragen geplatzt. Chris Betz, Senior Director bei Microsofts Security Response Center, beklagt in einem Blogpost, dass sein Unternehmen kurz davor war, die Lücken zu schließen. Demnach habe man Google darüber informiert, dass zum Januar-Patchday, also am morgigen Dienstag, ein entsprechender Patch verteilt werden soll. Die von Google im Rahmen der Responsible Disclosure eingeräumte Schonfrist lief allerdings schon am Sonntag ab – also zwei Tage zu früh.
Beide Seiten bestätigen, dass Microsoft versucht hat, diese Frist zu verlängern. Ursprünglich plante Microsoft, die Lücke erst im Februar zu schließen. Als das Unternehmen fragte, ob das angesichts der bei Google üblichen 90-tägigen Schonfrist ein Problem sei, antwortete Google, dass die Frist für alle Hersteller und für alle Arten von Bugs gelten. Microsoft antwortete daraufhin, dass die Lücke doch schon zum Januar-Patchday geschlossen werde.
Hab Dich!
Betz findet zu den Ereignissen deutliche Worte: "Die Entscheidung fühlt sich weniger so an, als würde Google an seinen Prinzipien festhalten, sondern mehr wie ein Gotcha ('Hab Dich!')". Was für Google richtig sei, sei nicht immer immer für die Kunden richtig. "Wir fordern von Google, den Schutz der Kunden zu unserem gemeinsamen Ziel zu machen", fügt er hinzu. "Wir glauben nicht, dass es richtig wäre, unsere Sicherheitsforscher Schwachstellen in Produkten unserer Mitbewerber finden zu lassen, Druck auszuüben, dass der Patch in einem bestimmten Zeitrahmen fertig sein muss und dann Informationen zu veröffentlichen, die dazu genutzt werden können, die Kunden anzugreifen, bevor der Patch fertig ist".
Koordiniert oder verantwortungsbewusst?
Nach Ansicht von Microsoft sollen die Entdecker von Schwachstellen im Sinne der von Microsoft erdachten Coordinated Vulnerability Disclosure (CVD) so lange mit den Herstellern zusammenarbeiten, bis ein Patch bereitsteht. Erst dann sieht die CVD die Veröffentlichung der Schwachstellen-Details vor. Allerdings gibt es auch Ausnahmen von der Regel: etwa, wenn ein Hersteller nicht antwortet oder die Details in der Zwischenzeit ohnehin bekannt geworden sind.
Google arbeitet hingegen mit der sogenannten Responsible Disclosure, also der verantwortungsbewussten Offenlegung. Dabei setzt der Entdecker der Lücke dem Unternehmen eine Frist, ehe er mit seinem Wissen an die Öffentlichkeit geht – Google gibt den betroffenen Unternehmen 90 Tage Zeit. Das waren im aktuellen Fall zwei Tage zu wenig. (rei)
