NSA Leak: „Mother of all Exploits“ für Windows im Umlauf

Eine Gruppe namens „The ShadowBrokers“ hat am gestrigen Karfreitag ein Portfolio an Schadprogrammen veröffentlicht, die nach ihren Angaben aus dem Werkzeugkoffer der NSA stammen sollen. Mit den Tools ist es möglich, binnen kurzer Zeit Zugriff oder gar Kontrolle über einen Rechner mit Windows-Betriebssystem zu erlangen.

FUZZBUNCH nutzt mehrere Zero-Day-Exploits

Ersten Meinungen von Fachleuten zufolge nutzen die gegenständlichen Programme eine bislang noch nicht bekannt gewesene Fülle an Zero-Day-Exploits. Einzelne Komponenten sind jeweils in der Lage, einem Angreifer entweder Zugriff auf oder gar Kontrolle über einen ins Visier genommenen Windows-Rechner zu geben. Vereinfacht wird das Ganze dadurch, dass die Koordination der Komponenten über eine zentrale Steuerungsapplikation namens FUZZBUNCH erfolgt. Damit soll es für einigermaßen geübte Nutzer möglich sein, binnen Minuten einen erfolgreichen Angriff zu führen. Dies wurde etwa in einem auf Twitter geposteten Video mit dem Serverbetriebssystem Windows 2008 R2 SP1 x64 demonstriert.

Betroffen sind nach derzeitigem Stand alle Windows-Versionen von XP bis zu Windows 8, einschließlich aller Server-Derivate. Ersten vorsichtigen Schätzungen zufolge sind allein 65 Prozent jener Computer, mit denen im Internet gesurft wird, verwundbar für entsprechende Attacken. In Unternehmen oder in Fertigungsbetrieben verwendete, aber nicht ans Internet angeschlossene Rechner sind bei dieser Zahl nicht berücksichtigt, obgleich gerade dort das Bedrohungspotenzial groß ist.

In einer ersten Reaktion wurde die Veröffentlichung von US-Medien als „der schlimmste Leak seit Snowden“ tituliert. Snowden selbst nannte die Werkzeugsammlung in einem Tweet gar die „die Mutter aller Exploits“.

Microsoft geht den Lücken nach

Auf erste Anfragen von Medien hin gab Microsoft bekannt, dass der Konzern sich des Problems gewahr sei und die notwendigen Schritte für die Sicherheit der eigenen Kunden setzen wolle. Diverse Nachfragen, ob man als Unternehmen von der NSA Hinweise auf die Lücken erhalten habe, verneinte Microsoft indirekt. In einem Blog-Post wurde auch inhaltlich reagiert. Ingenieure hätten sich die Schadprogramme und die damit verbundenen Lücken in Betriebssystemen bereits näher angesehen. Konkret spricht Redmond von zwölf Lücken, von denen bereits neun seit einiger Zeit gepatcht worden seien. Die übrigen drei sollen auf noch Support erhaltenden Plattformen wie Windows 7, Microsoft Exchange 2010 oder jüngeren Produkten nicht mehr funktionieren.

Die Gruppe „The ShadowBrokers“ hat schon im Sommer 2016 ähnliche Schadprogramme aus dem Fundus der NSA öffentlich im Internet verfügbar gemacht. Ursprünglich wollte man sie per Auktion zu Geld machen, aber in Ermangelung williger Käufer entschied man sich dann für eine Veröffentlichung der Tools.