Microsoft wollte Veröffentlichung von Exploit gegen IIS verhindern

Microsoft hat vergangene Woche vergeblich versucht, die Veröffentlichung des Exploit-Codes für den Internet Information Server zu verhindern. Der Exploit nutzt eine Schwachstelle im SSL/PCT-Code unter Windows aus, mit der Angreifer den vollen Zugriff auf verwundbare Systeme erhalten. Die Redmonder gaben sogar eine Warnung heraus, in der sie Kunden aufforderten, Vorsichtsmaßnahmen zu ergreifen.

Der Exploit wurde von dem Sicherheitsspezialisten mit dem Pseudonym Johnny Cyberpunk, Mitglied der deutschen Gruppe "The Hackers Choice" (THC), erstellt und auf den Seiten von THC als Binary zum Download veröffentlicht. Nach einer heftigen Diskussion auf der Mailingliste Full Disclosure nahm man zwar das Binary von den Seiten, hielt aber weiterhin den Quellcode bereit.

Nach Angaben von THC setzte sich Microsoft daraufhin mit dem Provider Mesh-solutions, der die Seiten von THC hostet, in Verbindung und bat um ein Abschalten der Seiten. Der kam der Aufforderung nicht nach, da in Deutschland das Bereithalten derartigen Codes nicht verboten ist. Anders beispielsweise in den USA, dort versuchen einige Hersteller den Digital Millennium Copyright Act (DMCA) als Mittel gegen die Veröffentlichung von Informationen über Sicherheitslücken und Exploits zu benutzen. Allerdings war bereits Hewlett-Packard an solch einem Vorhaben gescheitert.

Auf Anfrage von heise Security konnte Microsoft Deutschland keine Auskunft über den Sachverhalt geben. Ob das Abschalten der Seite die Verbreitung des Quellcodes verhindert hätte, bezweifelt das THC-Mitglied Skyper, da dieser bereits von hunderten anderer Seiten ins Angebot übernommen wurde. Von jeglichem Missbrauch des Exploits distanziert sich zudem Johnny Cyberpunk. Gegenüber heise Security betonte er, der Exploit sei eigentlich als Tool für Administratoren gedacht, um zu testen, ob der Webserver abstürzt oder der Zugriff möglich ist. Deshalb sei auch nur ein einziger Offset enthalten, was den Proof-of-Concept-Status der Quellen bestätige. Damit funktioniere der Exploit nur eingeschränkt. THC besteht nach eigenen Angaben fast ausschließlich aus Penetration-Testern namhafter Sicherheitsdiensleister, die die Tools selbst bei der täglichen Arbeit verwenden.

Mittlerweile mehren sich aber Gerüchte, dass es einen Wurm gibt, der den Code zum Einbruch in Systeme benutzt. THC ist trotzdem nicht der Meinung, fahrlässig gehandelt zu haben, da der Patch für diese Schwachstelle (MS04-011) seit dem 13.4. verfügbar sei. Ohnehin verstehe man nicht, warum Microsoft gerade bei diesem Exploit so viel Aufhebens mache, schließlich würden ständig Exploits für Lücken in Windows veröffentlicht. Einer illegalen Handlung sei man sich nicht bewusst, da in Deutschland der DMCA nicht gültig sei. Joerg Heidrich, Justitiar des Heise-Verlags, gibt aber zu bedenken, dass der Autor der Quellen durchaus wegen Beihilfe belangt werden könne, sollten Dritte mit dem Code Schaden anrichten. THC erwägt nun in Zukunft keinen Quellcode für Exploits mehr zu veröffentlichen. (dab)