Querelen um neue Windows-Lücke [Update]

Die neue Sicherheitslücke in Windows sorgt für Unmut – und das nicht nur, weil Tavis Ormandy die Informationen ohne Abstimmung mit Microsoft veröffentlichte, sondern weil auch der von ihm bereit gestellte Hotfix nicht vollständig schützen soll.

Die Lücke findet sich in Microsofts Hilfe- und Supportcenter und lässt sich ausnutzen, um aus der Ferne einen Windows-PC zu kompromittieren. Dazu genügt der Aufruf einer manipulierten Webseite mit dem Internet Explorer. Microsoft hat unterdessen die Lücke bestätigt: betroffen sind nur Windows XP und Server 2003. Windows 7, Vista und Server 2008 sind nicht verwundbar. Microsoft untersucht das Problem noch und will eventuell einen Patch veröffentlichen, um die Lücke zu schließen. Als Schutz empfehlen die Redmonder, die ursächliche Verarbeitung manipulierter hcp://-URLs zu deaktivieren. Dazu genügt es, den hcp-Handler einfach zu löschen.

Microsoft schlägt vor, dies über eine reg-Datei zu erledigen. Dazu legt man die Datei hcp.reg an und füllt sie mit folgenden Inhalt:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\HCP]

Ein anschließender Doppeklick deaktiviert die Verarbeitung von Hilfedokumenten.

Diese Vorgehensweise empfiehlt auch der Sicherheitsdienstleister Secunia, der die Lücke erneut analysiert hat und zu dem Ergebnis kommt, dass Ormandy einige Punkte übersehen hat, die den Fehler verursachen können. Daher fängt laut Secunia Ormandys Hotfix auch nicht alle Angriffe ab. Ormandys Fix sieht vor, dass die Funktion MPC::HexToNum() bei bestimmten Fehlern den Wert Null statt 0xFFFFFFFF zurückliefert. Letzteres lässt sich nämlich ausnutzen, um die Whitelist-Prüfung des Supportcenters zum Nachladen von Dokumenten auszutricksen. Leider lässt sich die Ausgabe von 0xFFFF-Werten auch laut Secunia auch ohne Fehler provozieren, womit der Hotfix wirkungslos sei. Secunia rät ebenso wie Microsoft von der Installation des (inoffiziellen) Hotfix ab.

Microsoft mokiert sich zudem darüber, dass Ormandy bereits vier Tage nachdem er Microsoft informiert hat seinen Bericht veröffentlichte. Dies habe keine Zeit gelassen, angemessen zu reagieren. Die unzureichende Analyse von Ormandy und der nur halb funktionierende Fix bestätigen nach Meinung der Redmonder, dass es Zeit benötige, ein Problem umfassend zu verstehen und einen probaten Patch zu bauen. Interessanterweise richtet Microsoft seine Vorwürfe sowohl an Ormandy direkt als auch an den Diensteanbieter Google, in dessen Sicherheitsteam Ormandy arbeitet.

Ormandy analysiert aber nicht nur Windows-Lücken. Gerade erst wird er als Entdecker von neun Sicherheitslücken im Flash Player in Adobes aktuellem Sicherheitsbericht erwähnt.

[Update:] Neben Microsoft wundern sich auch unabhängige Sicherheitspezialisten über Ormandys Vorgehen. Der Hacker Robert Hansen (aka RSnake) fragt sich in einem Kommentar, ob Google zwei unterschiedliche Standards bei Full Disclosure verwende, denn Google selbst ist ein Verfechter der Responsible Disclosure. Allerdings hat Ormandy mittlerweile darauf hingewiesen, dass er in diesem Fall auf eigene Rechnung gearbeitet hat und Google damit nichts zu tun habe. In seinem Fehlerbericht bedankt er sich aber unter anderem bei Michal Zalweski, ebenfalls Mitgliedern des Google-Sicherheitsteams, für die Hilfe beim Erstellen des Exploits.

Ber der Anfang des Jahres gemeldeten Lücke in der Virtual DOS Machine hatte Ormandy zwar auch einen Exploit veröffentlicht, ohne das Microsoft einen Patch zur Verfügung gestellt hatte. Damals hatte Microsoft aber auch mehrere Monate Zeit, zu reagieren.[/Update]

Siehe dazu auch:

• Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution, Warnung von Microsoft

(dab)