Hafnium: Github löscht Exploit-Code für Exchange-Lücke

Nach den zahlreichen Hacks auf Exchange-Server, von denen auch deutsche Bundesbehörden betroffen sind, hat ein Sicherheitsforscher funktionierenden Code zum Ausnutzen der zugrunde liegenden Sicherheitslücke auf Github veröffentlicht. Nur wenige Stunden später wurde der Beispiel-Exploit-Code jedoch vom Code-Hoster wieder gelöscht. Zuvor hatten mehrere Forscher dem Magazin The Record die Fähigkeiten des Exploits bestätigt.

Stellenmarkt

1. Deutsche Bundesbank, Frankfurt am Main, Düsseldorf
2. Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe

Anfang März warnte der Software-Hersteller Microsoft vor sogenannten Zero Days in seinem E-Mail-Server Exchange, also bisher unbekannten Sicherheitslücken, die bereits aktiv ausgenutzt werden. Microsoft wusste offenbar schon seit rund zwei Monaten von Lücken, für deren Ausnutzung der Hersteller mutmaßlich chinesischen Angreifer verantwortlich macht.

Vor den Sicherheitslücken betroffenen sein sollen allein in den USA rund 30.000 Behörden und Unternehmen. Auch in Deutschland sollen anfangs mindestens 26.000 Systeme für die Sicherheitslücke verwundbar gewesenen sein. Darunter sind auch sechs Bundesbehörden, die das BSI selbst nicht nennen wollte. Der Sicherheitsforscher Tim Philipp Schäfers von Internetwache.org fand über die Suchmaschine Shodan, jedoch heraus, um welche es sich handelt.

Uneinigkeit über Vorgehen zu Exploits

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken derart großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Kritiker von Github, das zu Microsoft gehört, sehen in dem Schritt, den Exploit-Code zu löschen, jedoch unter anderem einen Schutz der eigenen Interessen des Unternehmens. Immerhin stammt Exchange von Microsoft. So formuliert dies etwa Dave Kennedy, der außerdem sagt: "Das ist nicht gut".

Der bei Googles Project Zero angestellte Tavis Ormandy sagt darüber hinaus, dass das Veröffentlichen des Codes Vorteile habe: "Es ist bedauerlich, dass es keine Möglichkeit gibt, Forschungsergebnisse und Tools mit Fachleuten zu teilen, ohne sie auch mit Angreifern zu teilen, aber viele Menschen (wie ich) glauben, dass die Vorteile die Risiken überwiegen."

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)

Marcus Hutchins, alias Malwaretech Blog, der unter anderem die Ausbreitung des Wanna-Cry-Trojaners verlangsamt hatte, erwidert jedoch, dass derzeit noch etwa 50.000 Systeme weltweit verwundbar seien. "Das Veröffentlichen einer einsatzbereiten RCE-Exploitchain ist keine Sicherheitsforschung, sondern rücksichtslos und dumm."

Verschiedenen Medien wie dem Magazin Motherboard hat Github inzwischen sein Vorgehen bestätigt und der Code-Hoster teilt mit: "Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Codes für die Security-Community einen Bildungs- und Forschungswert hat. Unser Ziel ist es, diesen Nutzen mit der Sicherheit des breiteren Ökosystems in Einklang zu bringen". Im Einklang mit seinen eigenen Regularien habe der Code-Hoster den Code jedoch gelöscht.