Sicherheitsexperten: Windows-Update ist unsicher

Sicherheitsexperten mehrerer US-Universitäten haben Microsoft aufgefordert, seine Methode zur Auslieferung von Patches zu überarbeiten. Derzeit würde ein zu unsicheres System verwendet. Man mache es Angreifern so zu einfach, Rechner zu übernehmen. Microsoft veröffentlicht aktuell jeweils am zweiten Dienstag im Monat Aktualisierungen für seine Windows-Betriebssysteme. Diese werden über die Auto-Update-Funktion ausgeliefert. Im Durchschnitt sind 24 Stunden später erst 80 Prozent aller Windows-Rechner mit dem neuen Patch ausgestattet. In der Zwischenzeit können Angreifer eine Sicherheitslücke längst ausnutzen und finden eine ausreichend große Zahl anfälliger Computer vor.

Durch Analyse eines Patches kann die zu schließende Sicherheitslücke relativ zügig rekonstruiert werden. Die Sicherheitsexperten entwickelten ein Tool, mit dem der Fehler in einigen Fällen bereits zwei Minuten nach Verfügbarkeit des Updates gefunden wurde. Ein Exploit kann dann schnell programmiert und eingesetzt werden.

"In der Konsequenz ist die derzeitige Patch-Distribution unsicher", heißt es in dem Forschungspapier der Wissenschaftler. Die Methode zur Verteilung solle daher so überarbeitet werden, dass eine automatisierte Analyse und Exploit-Erstellung erschwert wird.

Gleich mehrere Wege wurden vorgeschlagen: So könnten Patches in einem ersten Schritt so gestaltet werden, dass es schwieriger wird, Rückschlüsse auf den zu behebenden Fehler zu ziehen. Perspektivisch sollten die Updates verschlüsselt ausgeliefert werden, um eine Erforschung zu verhindern. Erst wenn möglichst viele Rechner über den Patch verfügen, kann dann ein Schlüssel versandt werden, der die Installation ermöglicht. Der Einsatz von Peer-to-Peer-Technologien würde die Verteilung der Aktualisierungen außerdem beschleunigen.

Das Forschungspapier wurde von Informatikern der Carnegie Mellon University, der University of California und der University of Pittsburgh erstellt.