Windows-Administratoren und IT-Sicherheitsforscher hatten alles andere als ein ruhiges Oster-Wochenende:
Die Hackergruppe The Shadow Brokers hat am Karfreitag brisante Geheimdokumente veröffentlicht, die offenbar vom US-Geheimdienst NSA stammen.
Zunächst hiess es gar, dies sei das schlimmste «Leak» seit den Enthüllungen des Whistleblowers Edward Snowden, die ab Sommer 2013 die Welt in Atem hielten. Später wurden die Befürchtungen der Sicherheitsforscher relativiert.
Fakt ist: Das bei Git Hub veröffentlichte Material beinhaltet einzigartige Hacker-Instrumente, mit denen man in PCs und Server mit dem Windows-Betriebssystem eindringen kann.
Offenbar konnte sich der US-Geheimdienst damit Zugang zum internationalen Zahlungsverkehrssystem Swift verschaffen, um eine Reihe von Banken im Nahen Osten zu überwachen.
Microsoft hat in einer Stellungnahme betont, dass die gefährlichsten Sicherheitslücken – so genannte «Zero Day Exploits» – bereits im März durch ein Update behoben worden seien. Allerdings gilt dies nur für die neueren Windows-Versionen.
Die gesamte Tragweite der jüngsten Shadow-Brokers-Veröffentlichung ist noch nicht abzuschätzen.
Experten gehen davon aus, dass die Hacker-Tools tatsächlich von der NSA stammen und einer geheimen Einheit namens Equation Group innerhalb der NSA gestohlen wurden.
Im Gegensatz zu Snowden, der mit Journalisten kooperierte, statt Geheimdokumente selber zu publizieren, wurde nun das erbeutete «Rohmaterial» im Internet veröffentlicht.
Darunter befinden sich funktionstüchtige Exploits, die durch Dritte relativ einfach missbraucht werden könnten. Kommentatoren sprachen von einem «Gottmodus für Windows». Soll heissen, man soll damit fremde Geräte fernsteuern können.
Der Schaden, den Kriminelle mit den NSA-Tools anrichten können, ist schwer abzuschätzen. Die Veröffentlichung macht jedenfalls Millionen Windows-Computer weltweit angreifbar und es dürfte in nächster Zeit einige Angriffsversuche geben.
Für Microsoft und seine Kunden ist kein Super-GAU eingetreten: Die neueren Betriebssysteme – allen voran Windows 10 – sind in der aktuellsten Version nicht angreifbar. Microsoft hat im März einen Patch veröffentlicht (dazu gleich mehr).
Ungemütlich sieht die Situation bei Geräten mit veralteten Windows-Versionen aus, darunter Windows NT, 2000, 2003, 2008 sowie Windows XP und Windows Vista. Da Microsoft den Support für diese Betriebssysteme offiziell eingestellt hat, gibt's auch keine Patches mehr.
Microsoft rät allen Usern zum Update.
#ShadowBrokers Update table v0.3. Targets on ETERNAL* exploits based on CVE & MS17-010 bulletin (in yellow). Red are confirm or in expl XML pic.twitter.com/qvWlEmIl7n
— Efrain Torres (@etlow) 18. April 2017
Schlimm ist das Datenleck offenbar für die NSA: Den weitaus grössten Schaden stellen gemäss Einschätzung von Experten die Listen mit tausenden Dateinamen dar. Dabei handle es sich um so genannte «Implants», das sind unauffällige kleine Skripts. Die NSA-Spezialisten hätten sie rund um den Globus in strategisch wichtigen Netzwerken versteckt:
Laut Ankündigung im Microsoft-Blog sind folgende PC- und Server-Systeme (mit aktualisierter Software) nicht gefährdet:
Im Gegenteil. Und dies aus mehreren Gründen:
Microsoft doesn't credit anyone for the report behind the March patch. Was it @NSAGov? If so, it was the right call. Better late than never. https://t.co/aq24jw8fcV
— Edward Snowden (@Snowden) 15. April 2017
#NSA knew their hacking methods were stolen last year, but refused to tell software makers how to lock the thieves out. Are they liable?
— Edward Snowden (@Snowden) 14. April 2017
Zum Schluss gilt es festzuhalten, dass solche Geheimdienst-Leaks aus Sicht der Öffentlichkeit ziemlich aufschlussreich sein können. So soll die Bezeichnung für eines der Hacker-Tools einen Zusammenhang mit dem Stuxnet-Wurm herstellen.
Bis heute ist offiziell nicht bestätigt, dass die NSA den mächtigen Schädling entwickelte, um das iranische Atomprogramm lahmzulegen. Die Sabotage-Operation hiess «Olympic Games» ...
ETERNALCHAMP - YOU HAVE WON A GOLD MEDAL! operation olympic games anyone? #0day hacks XP, 2003, Vista, 2008, 7 and Win8. pic.twitter.com/2IxQUnW79t
— Hacker Fantastic (@hackerfantastic) 14. April 2017