Spekulationen über WMF-Bug als absichtliche Windows-Hintertür

Steve Gibson, unter anderem Betreiber des Portscan-Dienstes Shields-Up, beschuldigt in einem Podcast Microsoft, die erst kürzlich geschlossene WMF-Lücke absichtlich als Hintertür in Windows eingebaut zu haben: "Das war kein Fehler. Das ist kein fehlerhafter Code. Das hat jemand in Windows eingebaut", erklärt er und spekuliert weiter: "Falls Microsoft eine Abkürzung benötigt, einen Weg, um Code auf Windows-Systemen auszuführen, die ihre Web-Seite besuchen, hatten sie diese Möglichkeit und dieser Code gab sie ihnen." Zentrales Element seiner Argumentation ist seine Beobachtung, die fragliche SetAbortProc-Funktion könne nur mit einer bestimmten, ungültigen Längenangabe überhaupt aktiv werden. Dies sei offensichtlich ein Schutzmechanismus, der verhindern solle, dass jemand zufällig über die Hintertür stolpere.

Gibson hat insofern Recht, dass es sich bei dem WMF-Sicherheitsproblem anders als bei den meisten Lücken nicht um einen Programmierfehler handelt, der sich ausnutzen lässt, sondern um eine absichtlich eingebaute Funktion. Sie stammt aus der Zeit, als Windows kooperatives Multitasking eine solche Callback-Funktion erforderte, beispielsweise um Druckjobs abzubrechen, erläutert Stephen Toulouse, Security Program Manager bei Microsoft in einem diesbezüglichen Blog-Eintrag. Dass sich diese Funktion nur mit einer falschen Längenangabe aufrufen ließe, sei allerdings falsch: Auch korrekte WMF-Dateien können laut Toulouse SetAbortProc-Funktionen aktivieren.

Allerdings wirft auch seine Erwiderung an einigen Stellen kein allzu gutes Licht auf Microsofts Sicherheitsbemühungen. So habe man die potenzielle Gefahr dieses Metafile-Records erkannt und einige Applikationen wie der Internet Explorer werteten diese deshalb nicht selbst aus. Wie eine solche erkannte und dann wohl hoffentlich auch dokumentierte Gefahr durch die intensiven Security Reviews rutschen konnte, die man unter anderem im Zuge der Erstellung von Service Pack 2 für Windows XP vorgenommen hat, erklärt Toulouse jedoch nicht.

Dafür erläutert er nochmals, warum Microsoft keinen Patch für Windows 98/SE/ME bereitstellt, obwohl diese prinzipiell auch verwundbar sind. Die möglichen Einfallstore auf diesen Plattformen erforderten erhebliche Mitwirkung des Anwenders, was eine Einstufung als kritisches Problem nicht rechtfertige. Und nur für solche gäbe es noch Sicherheitspatches im Rahmen des Extended Support Lifecycles – und das auch nur noch bis Juni 2006. Wer gezwungen ist, weiterhin eines dieser Systeme einzusetzen kann sich nur mit Hilfe von Drittherstellern schützen. Beispielsweise bietet der Hersteller des Virenscanners NOD32 einen Patch an – allerdings ohne jegliche Gewähr.

Gibsons Backdoor-Spekulationen werden in der Security-Gemeinde jedenfalls nicht weiter ernst genommen. Dass sich Microsoft den exklusiven Zugriff auf eine hypothetische Hintertür nur durch eine falsche Längenangabe sichern würde, ist wenig wahrscheinlich. Dave Aitel von der Sicherheitsfirma Immunity geht davon aus, dass dies über richtige Krypto-Funktionen realisiert würde. Marc Maiffret, "Chief Hacking Officer" bei eEye rückt in amerikanischen Medien die Spekulationen gar in die Nähe von Hüten aus Alufolie (Tinfoil Hats), mit denen sich Paranoiker gegen Gedankenkontrolle abschirmen wollen. Trotzdem ist natürlich die Gefahr, die von den WMF-Problemen ausgeht real, und wer es noch nicht getan hat, sollte schleunigst den Microsoft-Patch einspielen.

Siehe dazu auch: (ju)

• Transkription des Podcasts von Steve Gibson
• Looking at the WMF issue, how did it get there? von Stephen Toulouse, Microsoft