Windows-Exploits landen oft sehr früh bei Microsoft

Sicherheitslücken Microsoft erhält oft sehr früh darüber Kenntnis, wenn Angreifer Exploits entwickeln, um bestimmte Sicherheitslücken auszunutzen. Dies berichtete Sicherheits-Chef Rocky Heckman gegenüber 'ZDNet Australia'. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
7000 bis 9000 pro Sekunde, krasse Zahl. Aber ist ja schön wenn die ganzen Script-Kiddies MS damit sogar helfen schneller gegen Lücken vorzugehen:)
 
@paris: Naja, die Skriptkiddies versuchen schon seit Jahren immer wieder die gleichen Attacken auch auf unseren Firmenwebservern. Immer die gleiche Laier. Außer, dass es megabyteweise Logfile-Einträge erzeugt, nutzt es aber keinem und neue Hackmethoden konnte ich in unseren Logs auch nie sehen. Die 7000 Einträge erreichen wir vielleicht am Tag :)
 
@GabberFun: Wenn sie es gut hacken, wirst du es nicht merken und auch nichts auffälliges im Log finden ;)...
 
@GabberFun: Und damit haben sie bei vielen Firmen noch Erfolg. diese kaufen sich keine neuen Systeme für ihre Server oder installieren nicht mal Updates
 
@GabberFun: Das Problem ist, dass bei einer ganzen Menge der Server diese Angriffe noch funktionieren. Einer meiner Kunden hatte vor einiger Zeit eine alte SLES9-Maschine für die Buchhaltungssoftware. Das Problem war, dass es die Firma, welche ursprünglich den support machte, nicht mehr gab und so hat sich keiner um den Rechner gekümmert. Ich habe da drauf einen bzw. mehrere recht gut versteckte sendmail-Prozesse gefunden inklusive eines IRC-Bots zur Steuerung des ganzen. Ich habe mir die ganzen auf dem Server hinterlegten Scripte danach nochmal angesehen. Der kam auch über einen Exploit in's System der eigentlich seit Jahren schon nicht mehr funktioniert.
 
@skaven: Und das auf einen ach so sicheren Linux System? Aber dies soll kein geflame gegen Linux sein, sondern darauf hinweisen, das die meisten Sicherheitslücken eher auf administrative Mängel hinweisen.
 
@paris: Naja die Zahl erscheint hoch, aber eigentlich isses garnet so viel. Gerechnet an Kunden ist das echt wenig. Microsoft sollte mal veröffentlichen, wieviele Besucher die täglich haben. Da wird 9000 wahrscheinlich sehr sehr weit unter 0,1% liegen. Lustig ist die News alle mal. Ich hätte es eventuell nicht gesagt, aber naja,,,
 
Also gestern kam ja der Film Vollidiot... Will aber nur den Titel mit den Virenschreibern in Verbindung bringen ;)
 
@gonzohuerth: Ach, bis die Lücken von MS geschlossen sind haben die Virenschreiber noch lange Zeit. Edit: Halt erstmal auf Patchday warten :D
 
Also irgendetwas stimmt da nicht! Über die Fehler-Melden-Funktion kann kein Code übermittelt werden. Wo soll der her kommen? Disassembliert Windows neuerdings Anwendungen? Höchstens bei Java oder .NET-Anwendungen kann der Quellcode übermittelt werden. Deise Unterscheidung findet aber nicht statt, also kann auch kein Programmcode übermittelt werden. Der Assembler-Code nützt einem kaum etwas, um die Sicherheitslücke ausfindig zu machen bzw. der Aufwand dafür ist sehr groß. Man tut hier ja grad so, als ob die Viren-Schreiber total verblödet wären und dann auch noch ihr Quellcode an MS übermittelt wird. Mal abgesehen davon, dass ich nie und nimmer glaube, dass ein Viren-Schreiben den Fehler an MS senden lässt.
 
@sushilange: Öhm, also erstens: Auch Assembler-Code ist Code - also WIRD Code übermittelt. Zweitens: woher willst du genau wissen, dass man mit dem reinen Assembler-Code keine Sicherheitslücke ausfindig machen kann? Dafür gibts Spezialisten, die das sehr wohl mit geeigneten Tools können, z.B. SoftIce. Hacker, die Kopierschütze ausser Kraft setzen haben auch keinen Quellcode sondern nur den Assemblercode und schaffen es genauso, mit SoftIce & Co. sehr wohl sehr viel anzufangen. Und drittens spricht der Mitarbeiter von Fakten, die er erlebt hat, du dagegen kannst nur schätzen.
 
@Lofote: Dass es nicht möglich ist, streite ich nicht aber, dennoch ist es sehr schwer und dauert sehr lange. Bis der Assembler-Code so analysiert ist, dass man die Schwachstelle gefunden hat, wurde man eh bereits über die Sicherheitslücke aufmerksam gemacht. Ja, richtige Hacker müssen sich auch mit Assembler-Code auseinander setzen, benötigen aber auch dafür sehr lange. Oder glaubst du, dass man sich 1-2h Assembler-Code anschaut und dann sofort Bescheid weiß? Sowas kann je nach Größe einer Anwendung teilweise mehrere Wochen dauern. Und das steht wie gesagt nicht im Verhältnis zum Nutzen. Auf jeden Fall ist es nicht so wie es im Artikel beschrieben wird: "boar die Viren-Schreiber sind ja so blöd, schicken uns ihren Viren-Code, sodass wir schon ebvor sie überhaupt ihren Virus verbreiten können, die Schwachstelle kinderlicht finden können". Und nur, weil irgendjemand etwas von sich gibt, heißt es noch lange nicht, dass es auch stimmt ;-) Außerdem sind es erst Fakten, wenn er sie beweisen kann ;-) Außerdem müsste auch erstmal zufällig der entsprechende Code im Fehlerbericht drinstehen. Dort steht wenn überhaupt nur der Aufruf der Methode, die zum Crash geführt hat, der Stack-Trace und vielleicht noch der Code der Methode. Die eigentliche Schwachstelle kann an einer ganz anderen Stelle des Programms ausgenutzt werden udn somit nicht übertragen werden, da ja nicht der komplette Assembler-Code der Anwendung übertragen wird! Als Entwickler kann ich dir bestätigen, dass die Aussagen im Artikel einfach nur lächerlich sind bzw. extrem übertrieben sind. Klar mag es einzelne Fälle gegeben habe, wo das so war, aber das wird sehr, sehr, sehr selten sein. Ein richtiger Hacker wird da NIEMALS auf Fehlerbericht senden klicken. Wieso sollte er so hohl sein und was hätte er davon? Entweder ist es Absicht, weil er MS über die Lücke informieren will, oder es ist ein Script-Kiddie, welcher eh keine unbekannte Sicherheitslücke ausnutzt, weil er selbst dazu gar nicht in der Lage wäre, welche zu finden.
 
@sushilange: hast du dir mal einige exploits angeschaut? Die Payload ist meist nur einige wenige Zeilen lang (in irgendeiner Hochsprache), d.h. auch in Assembler ist es jetzt nicht soviel. Somit kann man schon recht schnell sehen was der Assemblercode oder was auch immer macht, zur Not beobachtet man einfach die Ausführung. Wenn man weiß wo der Code ansetzt, dann kann man diese Lüche schliessen.
 
@sushilange: Tatsache ist, dass ein Kopierschutz von einem Profi binnen eines Tages geknackt wird. Lass es für diese Sache 5 Tage sein. Das ist machbar. Und selbstverständlich lohnt sich das, für die Software, die auf geschätzte 80% aller PCs installiert ist, möglichst früh über Lücken Bescheid zu wissen. Der Druck ist bei einem ausgebrochenen Wurm bei einer unbekannten (nicht gemeldeten) Sicherheitslücke wesentlich größer. Das zu dem Thema. Zum anderen: Thema "warum sollte der Hacker da klicken". Wieviele Menschen haben TAN-Nummern freiwillig bei einer (vermeintlichen) Mail ihrer Bank zur Verfügung gestellt? Glaubst du wirklich, die sind alle "hohl", die das gemacht haben? Manchmal denkt man nicht so weit oder vergisst das Häkchen wegzuklicken oder sonst was. Bei vielen (geschätzten) Hunderttausend Hackern auf dieser Welt ist die Chance groß, dass 100 davon das nicht beachten.
 
@Lofote: Du kannst doch wohl nicht einen DAU mit einem Viren-Schreiber vergleichen. Jemand, der so viel PC-Know-How hat und vor allem auch noch etwas illegales macht und nicht erwischt werden will, weil es strafbar ist, klickt nicht leichtfertig auf einen Senden-Button. Das kannst du nun wirklich nicht mit normalen Usern vergleichen. Das wäre so, als wenn du sagen würdest, dass ein Einbrecher ausversehen 110 anruft. Des Weiteren kannst du einen Kopierschutz nicht mit dem Interpretieren von Assembler vergleichen. Bei einem Kopierschutz weiß ich, wonach ich suchen muss. Weil es im Code irgendwo eine Überprüfungsfunktion gibt, die ein true oder false zurück liefert. Cracker suchen diese einfach und hebeln sie dann aus. Oder Funktionen, die einfach nur die Gültigkeit einer Lizenz überprüfen. Das wird dann auch so ausgehebelt, dass die Funktion immer true zurück liefert. Das ist auf jeden Fall etwas völlig anderes, als wenn ich einen Code bekomme, und überhaupt KEINE AHNUNG habe, was der Code macht. Da gibt es nichts, wo nach man Suchen kann. Da muss man völlig von 0 anfangen und den Assembler-Code interpretieren und das ist sehr schwer!
 
@sushilange: Schon mal ne Core-Analyse gemacht ?
 
Frage mich ob es wirklich intelligent war dies preiszugeben. Glaube, dass dies auch viele der Möchtegern-Haxxors lesen werden.
 
@Knarzi: grade die werden es wohl nicht schaffen eigene Sachen auf die Beine zu stellen. Mehr als einen Virenbaukasten und vorgefertige Scripts anzuwenden übersteigt bei vielen schon das technische Verständnis.
 
@tavoc: Ein Virenbaukasten verwendet selten eine unbekannte Sicherheitslücke.
 
@Lofote: es wird ja auch von Möchtegern "Haxxors" gesprochen..., darauf bezog sich mein Post.
 
@tavoc: Wenn so ein Vogel noch so dämlich ist, den Fehlerbericht zu senden, dann ist er ein Möchtegernhacker. Jeder andere würde die Funktion deaktivieren.
 
@Knarzi: ich glaube die haben das nur rausgegeben, dass sie nicht SO VIEL SCHEISS bekommen - wollen ja noch normal arbeiten nebenbei auch ^^
 
ist es nicht eh so per default das noch ein dump mit dem WFB übermittelt wird?
 
naja bei der dll lücke hats ja auch nur 12 jahre gebraucht ... http://www.heise.de/newsticker/meldung/Angreifer-nutzen-DLL-Luecke-in-Office-und-Co-Update-1068169.html
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.