• IT-Karriere:
  • Services:

Hafnium: Github löscht Exploit-Code für Exchange-Lücke

Sicherheitsforscher und Experten streiten derweil, ob Github beim Löschen des Codes richtig gehandelt hat.

Artikel veröffentlicht am ,
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht.
Noch nicht gepatchte Exchange-Server sind mit der Verfügbarkeit des Exploit-Codes besonders bedroht. (Bild: Pixabay)

Nach den zahlreichen Hacks auf Exchange-Server, von denen auch deutsche Bundesbehörden betroffen sind, hat ein Sicherheitsforscher funktionierenden Code zum Ausnutzen der zugrunde liegenden Sicherheitslücke auf Github veröffentlicht. Nur wenige Stunden später wurde der Beispiel-Exploit-Code jedoch vom Code-Hoster wieder gelöscht. Zuvor hatten mehrere Forscher dem Magazin The Record die Fähigkeiten des Exploits bestätigt.

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt am Main, Düsseldorf
  2. Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe

Anfang März warnte der Software-Hersteller Microsoft vor sogenannten Zero Days in seinem E-Mail-Server Exchange, also bisher unbekannten Sicherheitslücken, die bereits aktiv ausgenutzt werden. Microsoft wusste offenbar schon seit rund zwei Monaten von Lücken, für deren Ausnutzung der Hersteller mutmaßlich chinesischen Angreifer verantwortlich macht.

Vor den Sicherheitslücken betroffenen sein sollen allein in den USA rund 30.000 Behörden und Unternehmen. Auch in Deutschland sollen anfangs mindestens 26.000 Systeme für die Sicherheitslücke verwundbar gewesenen sein. Darunter sind auch sechs Bundesbehörden, die das BSI selbst nicht nennen wollte. Der Sicherheitsforscher Tim Philipp Schäfers von Internetwache.org fand über die Suchmaschine Shodan, jedoch heraus, um welche es sich handelt.

Uneinigkeit über Vorgehen zu Exploits

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken derart großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Kritiker von Github, das zu Microsoft gehört, sehen in dem Schritt, den Exploit-Code zu löschen, jedoch unter anderem einen Schutz der eigenen Interessen des Unternehmens. Immerhin stammt Exchange von Microsoft. So formuliert dies etwa Dave Kennedy, der außerdem sagt: "Das ist nicht gut".

Der bei Googles Project Zero angestellte Tavis Ormandy sagt darüber hinaus, dass das Veröffentlichen des Codes Vorteile habe: "Es ist bedauerlich, dass es keine Möglichkeit gibt, Forschungsergebnisse und Tools mit Fachleuten zu teilen, ohne sie auch mit Angreifern zu teilen, aber viele Menschen (wie ich) glauben, dass die Vorteile die Risiken überwiegen."

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)

Marcus Hutchins, alias Malwaretech Blog, der unter anderem die Ausbreitung des Wanna-Cry-Trojaners verlangsamt hatte, erwidert jedoch, dass derzeit noch etwa 50.000 Systeme weltweit verwundbar seien. "Das Veröffentlichen einer einsatzbereiten RCE-Exploitchain ist keine Sicherheitsforschung, sondern rücksichtslos und dumm."

Verschiedenen Medien wie dem Magazin Motherboard hat Github inzwischen sein Vorgehen bestätigt und der Code-Hoster teilt mit: "Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Codes für die Security-Community einen Bildungs- und Forschungswert hat. Unser Ziel ist es, diesen Nutzen mit der Sicherheit des breiteren Ökosystems in Einklang zu bringen". Im Einklang mit seinen eigenen Regularien habe der Code-Hoster den Code jedoch gelöscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 335,00€ (Bestpreis!)
  2. (u. a. 4K-HDMI für 5,59€, 5-Fach-Steckdosenleiste für 20,99€, HDMI-Verlängerungskabel für 7...
  3. (u. a. Cooler Master Masterkeys MK750 RGB für 119,90€, Chieftec CF-3012 3er RGB-Lüfter für 28...
  4. (u. a. Heckenschere für 117,99€, Hochdruckreiniger für 62,99€)

Folgen Sie uns
       


Zoom Escaper ausprobiert

Der Zoom Escaper ist eine Möglichkeit, sich aus Videokonferenzen zu schummeln. Wir haben ihn ausprobiert.

Zoom Escaper ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /