Geleakte NSA-Hackersoftware: Erkennungstool kann Malware nun auch entfernen
Gegenwärtig infizieren Unbekannte mit einer geleakten Malware der NSA unzählige ungepatchte Windows-Computer in aller Welt. Das Tool, das diese Infektionswelle sichtbar machte, ermöglicht nun angeblich auch Gegenwehr. Legal ist das aber wohl nicht.
Wenige Tage nachdem Sicherheitsforscher in aller Welt mit einem Diagnose-Tool erst Zehn- und schließlich Hunderttausende Computer entdeckt haben, die mit einer NSA-Malware infiziert sind, kann die nun wohl aus der Ferne entfernt werden. Das berichtet Ars Technica unter Berufung auf das Unternehmen Countercept, von dem das Diagnose-Tool stammt. Demnach mussten nur zwei Byte in dem von diesem Tool gesendeten Signal geändert werden, damit das die dateilose Malware Doublepulsar aus der Ferne von einem infizierten Computer entfernt. Das gelte aber zumeist schon als Hacken und dürfte deshalb strafbar sein, wenn der Ausführende nicht auch Besitzer des infizierten Computers ist.
Der Code von Doublepulsar war in dem Material, das die Hacker der Shadow Brokers öffentlich gemacht hatten. Damit gelangten verschiedene Hacking-Werkzeuge an die Öffentlichkeit, die von der NSA im Geheimen entwickelt und eingesetzt worden waren. Mit Doublepulsar können Windows-Computer, die einen im März veröffentlichten Patch noch nicht installiert haben, aus der Ferne übernommen und für weitere Angriffe verwundbar gemacht werden. Das machten sich dann offenbar Unbekannte zunutze und infizierten massenhaft Systeme. Die Infektion selbst erfolgt dateilos, wird also durch einen Neustart des Systems entfernt, gefährdet also wohl vor allem solche, die selten oder gar nicht gepatcht und neugestartet werden.
Wenig Konkretes von Microsoft
Microsoft selbst hatte in einem ersten Statement vergangene Woche Zweifel an diesen Suchergebnissen geäußert. Laut Ars Technica folgte Tage später ein zweites Statement, in dem Microsoft darauf verweist, das Geräte mit aktueller Software vor dem Angriff sicher seien. Nutzer sollten sich außerdem bewusst im Netz bewegen und beispielsweise Vorsicht walten lassen, etwa wenn es um Links oder unbekannte Dateien geht. Gegen diesen speziellen Angriff hilft das auf angreifbaren Rechnern aber nichts, da die Malware aus der Ferne über das Netzwerkprotokoll Server Message Block installiert werden kann. (mho)