Microsoft holt zum nächsten Angriff auf Nightmare-Eclipse aus
Microsoft geht ungewöhnlich scharf gegen einen anonymen Sicherheitsforscher vor, der in den vergangenen Wochen mehrere schwere Schwachstellen in Windows öffentlich gemacht hat. Diesen kritisiert Redmond nun auch in einem eigenen Blogpost scharf.
Nach Angaben Microsofts veröffentlichte Nightmare-Eclipse innerhalb von zwei Monaten Informationen und Exploits zu insgesamt sechs bislang unbekannten Sicherheitslücken. Die Schwachstellen ermöglichten Angreifern unter anderem erhöhte Systemrechte sowie das Umgehen der Festplattenverschlüsselung BitLocker. Die Details wurden nicht vorab vertraulich dem Hersteller gemeldet, wie es in der IT-Sicherheitsbranche üblich ist.
Der Forscher selbst begründete sein Vorgehen mit persönlichen Vorwürfen gegen Microsoft. So behauptete er, das Unternehmen habe Vereinbarungen gebrochen, ihn "im Stich gelassen" und dadurch seine Lebenssituation massiv verschlechtert. Microsoft geht in seinem Statement zwar nicht direkt auf diese Anschuldigungen ein, betont jedoch, dass Veröffentlichungen außerhalb koordinierter Verfahren "durch nichts zu rechtfertigen" seien.
Zugleich deutet der Konzern rechtliche Schritte an. In dem Blogbeitrag heißt es, die unternehmenseigene Digital Crimes Unit werde weiterhin gegen Akteure vorgehen, die Cyberkriminalität betrieben oder unterstützten. Ob man dazu auch Nightmare-Eclipse zählt, bleibt vorerst unklar. Juristisch ist die Lage kompliziert: Während das Ausnutzen von Sicherheitslücken strafbar sein kann, bewegt sich die reine Veröffentlichung von Exploit-Code in vielen Ländern in einer Grauzone.
In der IT-Sicherheitsbranche stieß Microsofts Stellungnahme auf gemischte Reaktionen. Mehrere Sicherheitsforscher berichteten in Sozialen Netzwerken von eigenen frustrierenden Erfahrungen mit dem Meldeprozess des Unternehmens. So dauerte es teils Monate, bis es zu einer Reaktion des Unternehmens auf Meldungen kam oder der Finder einer Schwachstelle wurde nicht einmal gewürdigt. Seit den Kontosperrungen und Microsofts öffentlicher Kritik hat sich Nightmare-Eclipse bislang nicht mehr geäußert.
Siehe auch:
"Durch nichts zu rechtfertigen"
In dem Text, der durch das Microsoft Security Response Center (MSRC) veröffentlicht wurde, wirft der Konzern dem unter dem Namen "Nightmare-Eclipse" auftretenden Experten vor, bewusst etablierte Regeln zur verantwortungsvollen Offenlegung von Sicherheitslücken missachtet zu haben. Die Veröffentlichung der sogenannten Zero-Day-Lücken habe Kunden "unnötigen Risiken" ausgesetzt und die Sicherheitsteams gezwungen, rund um die Uhr an Gegenmaßnahmen und Updates zu arbeiten.Nach Angaben Microsofts veröffentlichte Nightmare-Eclipse innerhalb von zwei Monaten Informationen und Exploits zu insgesamt sechs bislang unbekannten Sicherheitslücken. Die Schwachstellen ermöglichten Angreifern unter anderem erhöhte Systemrechte sowie das Umgehen der Festplattenverschlüsselung BitLocker. Die Details wurden nicht vorab vertraulich dem Hersteller gemeldet, wie es in der IT-Sicherheitsbranche üblich ist.
Der Forscher selbst begründete sein Vorgehen mit persönlichen Vorwürfen gegen Microsoft. So behauptete er, das Unternehmen habe Vereinbarungen gebrochen, ihn "im Stich gelassen" und dadurch seine Lebenssituation massiv verschlechtert. Microsoft geht in seinem Statement zwar nicht direkt auf diese Anschuldigungen ein, betont jedoch, dass Veröffentlichungen außerhalb koordinierter Verfahren "durch nichts zu rechtfertigen" seien.
Zugleich deutet der Konzern rechtliche Schritte an. In dem Blogbeitrag heißt es, die unternehmenseigene Digital Crimes Unit werde weiterhin gegen Akteure vorgehen, die Cyberkriminalität betrieben oder unterstützten. Ob man dazu auch Nightmare-Eclipse zählt, bleibt vorerst unklar. Juristisch ist die Lage kompliziert: Während das Ausnutzen von Sicherheitslücken strafbar sein kann, bewegt sich die reine Veröffentlichung von Exploit-Code in vielen Ländern in einer Grauzone.
Konzern fängt selbst Kritik
Bereits reagiert haben große Entwicklerplattformen. Sowohl GitHub als auch GitLab sperrten die Konten von Nightmare-Eclipse und entfernten den veröffentlichten Code. Gleichzeitig erlauben die Plattformrichtlinien grundsätzlich sogenannte Dual-Use-Inhalte, also Programme, die sowohl zu Forschungszwecken als auch für Angriffe genutzt werden können.In der IT-Sicherheitsbranche stieß Microsofts Stellungnahme auf gemischte Reaktionen. Mehrere Sicherheitsforscher berichteten in Sozialen Netzwerken von eigenen frustrierenden Erfahrungen mit dem Meldeprozess des Unternehmens. So dauerte es teils Monate, bis es zu einer Reaktion des Unternehmens auf Meldungen kam oder der Finder einer Schwachstelle wurde nicht einmal gewürdigt. Seit den Kontosperrungen und Microsofts öffentlicher Kritik hat sich Nightmare-Eclipse bislang nicht mehr geäußert.
Zusammenfassung
- Microsoft greift Sicherheitsforscher Nightmare-Eclipse in MSRC-Blog scharf an
- Der Forscher veröffentlichte sechs Windows-Schwachstellen ohne Voranmeldung
- Die Zero-Day-Lücken ermöglichten erhöhte Rechte und Umgehung von BitLocker
- Nightmare-Eclipse wirft Microsoft vor, Vereinbarungen gebrochen zu haben
- Microsoft deutet rechtliche Schritte an, GitHub und GitLab sperrten die Konten
- Die Sicherheitsbranche reagierte gemischt auf Microsofts öffentliche Kritik
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen