Hafnium: Github löscht Exploit-Code für Exchange-Lücke

Sicherheitsforscher und Experten streiten derweil, ob Github beim Löschen des Codes richtig gehandelt hat.

Artikel veröffentlicht am ,
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht.
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht. (Bild: Pixabay)

Nach den zahlreichen Hacks auf Exchange-Server, von denen auch deutsche Bundesbehörden betroffen sind, hat ein Sicherheitsforscher funktionierenden Code zum Ausnutzen der zugrunde liegenden Sicherheitslücke auf Github veröffentlicht. Nur wenige Stunden später wurde der Beispiel-Exploit-Code jedoch vom Code-Hoster wieder gelöscht. Zuvor hatten mehrere Forscher dem Magazin The Record die Fähigkeiten des Exploits bestätigt.

Stellenmarkt
  1. Entwickler / Applikationsbetreuer (m/w/d) Produktionssysteme MES
    nobilia-Werke J. Stickling GmbH & Co. KG, Verl
  2. IT Performance Manager (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg im Breisgau
Detailsuche

Anfang März warnte der Software-Hersteller Microsoft vor sogenannten Zero Days in seinem E-Mail-Server Exchange, also bisher unbekannten Sicherheitslücken, die bereits aktiv ausgenutzt werden. Microsoft wusste offenbar schon seit rund zwei Monaten von Lücken, für deren Ausnutzung der Hersteller mutmaßlich chinesischen Angreifer verantwortlich macht.

Vor den Sicherheitslücken betroffenen sein sollen allein in den USA rund 30.000 Behörden und Unternehmen. Auch in Deutschland sollen anfangs mindestens 26.000 Systeme für die Sicherheitslücke verwundbar gewesenen sein. Darunter sind auch sechs Bundesbehörden, die das BSI selbst nicht nennen wollte. Der Sicherheitsforscher Tim Philipp Schäfers von Internetwache.org fand über die Suchmaschine Shodan, jedoch heraus, um welche es sich handelt.

Uneinigkeit über Vorgehen zu Exploits

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken derart großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
  2. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    17.02.2023, Virtuell
Weitere IT-Trainings

Kritiker von Github, das zu Microsoft gehört, sehen in dem Schritt, den Exploit-Code zu löschen, jedoch unter anderem einen Schutz der eigenen Interessen des Unternehmens. Immerhin stammt Exchange von Microsoft. So formuliert dies etwa Dave Kennedy, der außerdem sagt: "Das ist nicht gut".

Der bei Googles Project Zero angestellte Tavis Ormandy sagt darüber hinaus, dass das Veröffentlichen des Codes Vorteile habe: "Es ist bedauerlich, dass es keine Möglichkeit gibt, Forschungsergebnisse und Tools mit Fachleuten zu teilen, ohne sie auch mit Angreifern zu teilen, aber viele Menschen (wie ich) glauben, dass die Vorteile die Risiken überwiegen."

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)

Marcus Hutchins, alias Malwaretech Blog, der unter anderem die Ausbreitung des Wanna-Cry-Trojaners verlangsamt hatte, erwidert jedoch, dass derzeit noch etwa 50.000 Systeme weltweit verwundbar seien. "Das Veröffentlichen einer einsatzbereiten RCE-Exploitchain ist keine Sicherheitsforschung, sondern rücksichtslos und dumm."

Verschiedenen Medien wie dem Magazin Motherboard hat Github inzwischen sein Vorgehen bestätigt und der Code-Hoster teilt mit: "Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Codes für die Security-Community einen Bildungs- und Forschungswert hat. Unser Ziel ist es, diesen Nutzen mit der Sicherheit des breiteren Ökosystems in Einklang zu bringen". Im Einklang mit seinen eigenen Regularien habe der Code-Hoster den Code jedoch gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Apple Watch Ultra im Test
Tolle Sportuhr - und trotzdem Trainingsbedarf

Akkulaufzeit, Navigation und das Ökosystem: Golem.de ist mit der für ausdauernde Athleten gedachten Sportuhr Apple Watch Ultra unterwegs gewesen.
Von Peter Steinlechner

Apple Watch Ultra im Test: Tolle Sportuhr - und trotzdem Trainingsbedarf
Artikel
  1. Deutscher Entwicklerpreis: Entwickler küren The Wandering Village zum besten Spiel
    Deutscher Entwicklerpreis
    Entwickler küren The Wandering Village zum besten Spiel

    Beste technische Leistung, Innovationspreis und bestes Spiel: The Wandering Village ist der große Gewinner beim Deutschen Entwicklerpreis 2022.

  2. Cyberone: Xiaomis Roboter spielt Schlagzeug
    Cyberone
    Xiaomis Roboter spielt Schlagzeug

    Xiaomis Cyberone-Roboter versucht sich als Drummer - menschliche Schlagzeuger müssen allerdings wohl noch nicht um ihre Jobs bangen.

  3. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus RTX 4080 1.399€ • PS5 bestellbar • Gaming-Laptops & Desktop-PCs -29% • MindStar: Sapphire RX 6900 XT 799€ statt 1.192€, Apple iPad (2022) 256 GB 599€ statt 729€ • Samsung SSDs -28% • Logitech Mäuse, Tastaturen & Headsets -53% • Google Pixel 6 & 7 -49% • [Werbung]
    •  /