Kritische Lücke in Windows und Flash – und Microsoft ist wütend

Microsoft hat eingeräumt, dass eine Hackergruppe eine bisher unbekannte Schwachstelle in seinem Betriebssystem Windows ausgenutzt hat. Sie solle mit einem Update am 8. November gestopft werden, erklärte der Software-Riese in einem Blog-Eintrag in der Nacht zum Mittwoch. Microsoft führt die Gruppe unter dem Namen «Strontium». Nach Informationen des «Wall Street Journal» handelt es sich um dieselben Hacker mit mutmasslicher Verbindung zu Russland, die E-Mails beim Vorstand der Demokratischen Partei in den USA gestohlen hatten.

Die Vorgehensweise von «Strontium» sei es, sich mithilfe präparierter Links in authentisch aussehenden E-Mails Zugang zu Computern und dem Netzwerk dahinter zu verschaffen, schrieb Microsoft. Es sei dieselbe Gruppe, die andere IT-Sicherheitsexperten wie etwa Crowdstrike unter der Bezeichnung «Fancy Bear» führten, schrieb das «Wall Street Journal».

Bei dem Angriff auf Windows kam auch eine bisher unbekannte Sicherheitslücke in der Multimedia-Software Flash von Adobe zum Einsatz, wie Microsoft weiter mitteilte. IT-Sicherheitsforscher von Google hatten vor einigen Tagen auf das Problem hingewiesen. Windows-Chef Terry Myerson kritisierte im Blog-Eintrag das Vorgehen. «Googles Entscheidung, diese Schwachstellen öffentlich zu machen, bevor Gegenmassnahmen breit verfügbar und getestet sind, ist enttäuschend und verstärkt das Risiko für die Kunden», schrieb er. Zugleich seien die Nutzer in Microsofts neuem Webbrowser Edge auf der neusten Version von Windows 10 bereits sicher gewesen.

Google hatte in der Vergangenheit bereits mehrfach Sicherheitslücken in Windows veröffentlicht, bevor die Redmonder den entsprechenden Fehler behoben hatten. So hat der Internetkonzern etwa Anfang 2015 eine Lücke veröffentlicht, da Microsoft diesen Bug auch nach Ablauf einer dreimonatigen Frist nicht behoben hatte.

Generell sehen die Vorgaben von Googles Sicherheitsteam «Project Zero» vor, dass entdeckte Sicherheitslücken zunächst dem jeweiligen Entwickler berichtet werden. Dieser hat dann rund 90 Tage Zeit, um den Bug zu beheben. Sollte der Fehler bis dahin nicht behoben sein, erfolgt die Veröffentlichung. Falls Sicherheitslücken aber wie im aktuellen Fall schon von Cyberkriminellen genutzt werden, erfolgt die sofortige Veröffentlichung. Dies soll einerseits die Entwickler unter Zugzwang setzen und andererseits Nutzern sowie Systemadministratoren die Möglichkeit bieten, Gegenmassnahmen einzuleiten.