Hafnium: Github löscht Exploit-Code für Exchange-Lücke

Sicherheitsforscher und Experten streiten derweil, ob Github beim Löschen des Codes richtig gehandelt hat.

Artikel veröffentlicht am ,
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht.
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht. (Bild: Pixabay)

Nach den zahlreichen Hacks auf Exchange-Server, von denen auch deutsche Bundesbehörden betroffen sind, hat ein Sicherheitsforscher funktionierenden Code zum Ausnutzen der zugrunde liegenden Sicherheitslücke auf Github veröffentlicht. Nur wenige Stunden später wurde der Beispiel-Exploit-Code jedoch vom Code-Hoster wieder gelöscht. Zuvor hatten mehrere Forscher dem Magazin The Record die Fähigkeiten des Exploits bestätigt.

Stellenmarkt
  1. Linux DevOps Professional (m/w/d)
    Haufe Group, Freiburg im Breisgau
  2. IT-Systemadministrator (m/w/d) für IT-Helpdesk
    ASYS Group - ASYS Automatisierungssysteme GmbH, Dornstadt bei Ulm
Detailsuche

Anfang März warnte der Software-Hersteller Microsoft vor sogenannten Zero Days in seinem E-Mail-Server Exchange, also bisher unbekannten Sicherheitslücken, die bereits aktiv ausgenutzt werden. Microsoft wusste offenbar schon seit rund zwei Monaten von Lücken, für deren Ausnutzung der Hersteller mutmaßlich chinesischen Angreifer verantwortlich macht.

Vor den Sicherheitslücken betroffenen sein sollen allein in den USA rund 30.000 Behörden und Unternehmen. Auch in Deutschland sollen anfangs mindestens 26.000 Systeme für die Sicherheitslücke verwundbar gewesenen sein. Darunter sind auch sechs Bundesbehörden, die das BSI selbst nicht nennen wollte. Der Sicherheitsforscher Tim Philipp Schäfers von Internetwache.org fand über die Suchmaschine Shodan, jedoch heraus, um welche es sich handelt.

Uneinigkeit über Vorgehen zu Exploits

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken derart großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Kritiker von Github, das zu Microsoft gehört, sehen in dem Schritt, den Exploit-Code zu löschen, jedoch unter anderem einen Schutz der eigenen Interessen des Unternehmens. Immerhin stammt Exchange von Microsoft. So formuliert dies etwa Dave Kennedy, der außerdem sagt: "Das ist nicht gut".

Der bei Googles Project Zero angestellte Tavis Ormandy sagt darüber hinaus, dass das Veröffentlichen des Codes Vorteile habe: "Es ist bedauerlich, dass es keine Möglichkeit gibt, Forschungsergebnisse und Tools mit Fachleuten zu teilen, ohne sie auch mit Angreifern zu teilen, aber viele Menschen (wie ich) glauben, dass die Vorteile die Risiken überwiegen."

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)

Marcus Hutchins, alias Malwaretech Blog, der unter anderem die Ausbreitung des Wanna-Cry-Trojaners verlangsamt hatte, erwidert jedoch, dass derzeit noch etwa 50.000 Systeme weltweit verwundbar seien. "Das Veröffentlichen einer einsatzbereiten RCE-Exploitchain ist keine Sicherheitsforschung, sondern rücksichtslos und dumm."

Verschiedenen Medien wie dem Magazin Motherboard hat Github inzwischen sein Vorgehen bestätigt und der Code-Hoster teilt mit: "Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Codes für die Security-Community einen Bildungs- und Forschungswert hat. Unser Ziel ist es, diesen Nutzen mit der Sicherheit des breiteren Ökosystems in Einklang zu bringen". Im Einklang mit seinen eigenen Regularien habe der Code-Hoster den Code jedoch gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prozessoren
Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
Artikel
  1. Zu wenig Triebwerke: Musk warnt vor SpaceX-Pleite
    Zu wenig Triebwerke
    Musk warnt vor SpaceX-Pleite

    Elon Musk sieht sich der nächsten "Produktionshölle" ausgesetzt. Dieses Mal stockt die Fertigung im Raumfahrtunternehmen SpaceX.

  2. 470 - 694 MHz: Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu
    470 - 694 MHz
    Streit um DVB-T2 und Veranstalterfrequenzen spitzt sich zu

    Nach dem Vorstoß von Baden-Württemberg, einen Teil des Frequenzbereichs an das Militär zu vergeben, gibt es nun Kritiken daran aus anderen Bundesländern.

  3. Factorial Energy: Mercedes und Stellantis investieren in Feststoffbatterien
    Factorial Energy
    Mercedes und Stellantis investieren in Feststoffbatterien

    Durch Festkörperakkus sollen Elektroautos sicherer werden und schneller laden. Doch mit einer schnellen Serienproduktion ist nicht zu rechnen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /