Google-Forscher entdecken dramatische Windows-Lücke

Tavis Ormandy und Natalie Silvanovich haben nach eigenen Angaben eine der schlimmsten Windows-Lücken der letzten Zeit entdeckt. Sie betrifft Standardinstallationen und soll sich zur Konstruktion eines sich selbst verbreitenden Wurms eignen.

In Pocket speichern vorlesen Druckansicht 538 Kommentare lesen
Tavis Ormandy "Worst RCE Exploit" in recent memory
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Zwei Sicherheitsforscher entdeckten offenbar eine dramatische Schwachstelle in Windows: Via Twitter verkündeteten sie, dass sie wahrscheinlich "die schlimmste Code-Ausführungs-Lücke der letzten Zeit" gefunden haben. Derart vollmundige Formulierungen sind erst mal nichts Ungewöhnliches und kein Grund zur Panik – in diesem Fall haben die Äußerungen aber besonderes Gewicht.

Denn hinter den Tweets stecken Tavis Ormandy und Natalie Silvanovich aus Googles Security-Spezialeinheit Project Zero. Ormandy ist seit Jahren für seine spektakulären Funde bekannt, Silvanovich hat unter anderem Lücken in den auf den Samsung-Smartphones vorinstallierten Hersteller-Apps aufgetan.

This is crazy bad: Tavis Ormandy und Natalie Silvanovich sind offenbar auch eine richtig böse Windows-Lücke gestoßen.

Laut Ormandy ist die Windows-Lücke "crazy bad" (frei übersetzt "unfassbar böse") und ein Bericht ist bereits auf dem Weg. Wo genau die Lücke klafft, hat er bisher nicht verraten. Allerdings ließ der Forscher durchblicken, dass sich der Angreifer nicht im lokalen Netz des Opfers befinden muss – was im Umkehrschluss bedeutet, dass die Attacke über das Internet funktioniert.

Ferner sei die Lücke "wormable", lässt sich also zur Konstruktion eines klassischen Computerwurms nutzen, der sich eigenständig verbreitet. Nach Angaben des Forschers sind Standardinstallationen von Windows betroffen.

In der Security-Szene sorgte die Ankündigung für ordentlich Wirbel. Seit der Veröffentlichung der Tweets diskutieren Ormandys Follower darüber, welche Windows-Komponente wohl betroffen sein könnte. Ist es .NET, die Krypto-Bibliothek SChannel oder doch die Windows-Firewall? Der Google-Forscher ließ sich davon nicht aus der Reserve locken und verriet lediglich, dass .NET nicht betroffen ist.

Wann die beiden Forscher ihr Rätsel auflösen, ist momentan nicht absehbar. Das Project-Zero-Team räumt den betroffenen Herstellern in der Regel einen Zeitraum von 90 Tagen ein, um die Sicherheitslücke zu schließen, ehe es Details veröffentlicht. Ausgenommen sind davon allerdings Lücken, die bereits im Visier von Angreifer sind.

[Update 09.05.2017 9:45]:

Mittlerweile hat Microsoft in der Nacht zum heutigen Dienstag mit einem sehr schnellen Update für alle aktuellen Windows-Versionen die Sicherheitslücke geschlossen, die Tavis Ormandy und Natalie Silvanovich in der Malware Protection Engine entdeckt und veröffentlicht haben. Mehr dazu:

(rei)