Windows-Quellcode in der Gerüchteküche
Nur wenige Tage nachdem Teile des bisher streng gehüteten Windows-Quellcodes über das Internet verbeitet wurden, sind die Millionen Zeilen an entwischtem Code wie erwartet schnell zur Lieblingslektüre potenzieller Angreifer avanciert.
Denn der nun mögliche Einblick in Windows 2000 und NT 4 erleichtert Virenautoren und anderen Eindringlingen die Arbeit, da die integrierten Schutzmechanismen im Quelltext genau analysiert und so einfacher umgangen werden können.
Erste Fehler im Code wurden bereits gefunden,für Sicherheitsexperten ist es nun nur noch eine Frage der Zeit, bis entsprechende Virenattacken unter Ausnutzung dieser Lücken kommen.
15 Prozent des Windows-Codes entwischt
Vor allem in P2P-Netzen und IRCs soll das 203 MB bzw. 229 MB
große, 30.915 Dateien umfassende Datenpaket bereits auf großes
Interesse gestoßen sein. Die 203 MB ergeben entpackt nicht ganz 660
MB, laut Microsoft soll das rund 15 Prozent des gesamten Codes
entsprechen.
Manipulierte Bitmap-Dateien
Unter anderem enthält der aufgetauchte Code Details zu wichtigen Modulen wie Winsock und dem seit jeher beliebten Angriffsduo Internet Explorer und Outlook.
Ein erster Fehler, der mittels speziell präparierter Bitmap-Bilder den Internet Explorer 5.x und teilweise auch Outlook Express zum Absturz bringen kann, wurde bereits entdeckt und in der Full-Disclosure-Mailingliste veröffentlicht.
Beitrag bei Full DisclosurePatches werden nicht eingespielt
Auch zu der letzte Woche bekannt gewordenen kritischen Sicherheitslücke in der Microsoft-ASN.1-Library wurde nun eine Anleitung zur Ausnutzung im Internet veröffentlicht.
Während Microsoft Monate benötigte, um die Lücke zu schließen, dauerte es nach der Veröffentlichung nur wenige Tage, bis ein Exploit gefunden war.
Zwar sind beide Bugs laut Microsoft bereits bekannt und seit dem Service Pack 1 für den Internet Explorer 6 bzw. dem letzte Woche veröffentlichten Security Bulletin MS04-007 ausgemerzt, doch wie die Erfahrung zeigt, werden viele Patches wegen der stetigen Flickenflut und der daraus resultierenden Überforderung von den Usern nicht eingespielt.
Windows-Systeme aktualisieren
Der Exploit führt zu einem Buffer-Overflow und veranlasst einen
automatischen Neustart des PC, ähnlich der Schadensroutine des
bekannten "Blaster"-Wurms.
Spekulationen und Verunsicherung
Nicht nur die Anti-Viren-Hersteller rüsten sich derzeit für eine Welle von Attacken, überall herrscht große Unsicherheit rund um das Auftauchen des Codes im Netz.
Die Gerüchteküche brodelt und die einen unken, Microsoft hätte den Quelltext vermutlich selbst ins Netz gestellt, da man der Fülle an Sicherheitslücken nicht mehr ohne die - wenn auch unfreiwillige - Mitarbeit der Internet-Community Herr werde oder mit der Aktion gar von anderen Lecks ablenken wolle.
Die Linux-Community ruft unterdessen aus Sorge um spätere Copyright-Konflikte dazu auf, die Finger von dem Code zu lassen und diesen auf keinen Fall für die Windows-Emulation unter Linux oder andere Software zu nutzen.
US-Entwickler Mainsoft mögliches Leck
Microsoft schließt aus, dass der Code aus einer internen Quelle
stammt. Mittlerweile verdichten sich die Hinweise dahingehend, dass
der Quelltext vom offiziellen Partner Mainsoft stammen könnte, der
seit 1994 Zugriff auf Code-Teile hat.