{"id":190538,"date":"2017-05-20T23:46:16","date_gmt":"2017-05-20T21:46:16","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190538"},"modified":"2022-06-23T19:04:43","modified_gmt":"2022-06-23T17:04:43","slug":"nsa-meldete-sicherheitslcke-wegen-shadow-broker-an-microsoft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/20\/nsa-meldete-sicherheitslcke-wegen-shadow-broker-an-microsoft\/","title":{"rendered":"NSA meldete Sicherheitslücke wegen Shadow Brokers an Microsoft"},"content":{"rendered":"

Im Februar 2017 teilte Microsoft kurzfristig mit, dass der 'Patchday' auf M\u00e4rz verschoben sei (siehe Ups, Patchday f\u00e4llt heute aus, wegen Bugs \u2026<\/a>). Nun wird bekannt, dass die NSA eine Sicherheitsl\u00fccke aus Angst vor einer Ver\u00f6ffentlichung durch die Hackergruppe Shadow Brokers an Microsoft meldete. Die von der NSA an Microsoft gemeldete SMBv1-Sicherheitsl\u00fccke d\u00fcrfte der Grund f\u00fcr den verschobenen Patchday gewesen sein .<\/p>\n

<\/p>\n

Dass der Februar 2017-Patchday bei Microsoft kurzfristig ausfiel und die Auslieferung der Updates auf M\u00e4rz 2017 verschoben wurde, hat schon Spekulationen ausgel\u00f6st. Ich hatte mal gefragt, ob die Server bei Microsoft gehackt worden seien (Verschobener Februar-Patchday \u2013 MS-Server kompromittiert?<\/a>), lag aber wohl daneben.<\/p>\n

Die NSA entwickelt Exploit<\/h2>\n

In Zeiten von Gruppen wie Shadow Brokers und WikiLeaks kommen die Schweinereien der Geheimdienste fr\u00fcher oder sp\u00e4ter ans Tageslicht. Sp\u00e4testens seit M\u00e4rz 2017 wissen wir, dass der US-Geheimdienst NSA Sicherheitsl\u00fccken bei Windows sammelte. Und es ist bekannt, dass Informationen zu diesen Sicherheitsl\u00fccken sowie Hacking-Tools der Geheimdienste in die H\u00e4nde von Hackern gelangten. Die Hacker-Gruppe Shadow Brokers drohte, solche Informationen zu ver\u00f6ffentlichen und hat es dann auch getan. Die Folgen in Form der WannaCry-Ransomware-Infektion sind seit einer Woche bekannt.<\/p>\n

Jetzt wurde in einem Artikel der Washington Post bekannt, was gelaufen ist. Ex NSA-Mitarbeiter haben wohl geplaudert und pikante Details verraten. Als die NSA den (bei WannaCry verwendeten) Exploit EternalBlue entwickelte, war den Verantwortlichen klar, welchen Sprengstoff sie da in H\u00e4nden hielten. Sollte EternalBlue irgendwann in fremde H\u00e4nde geraten, w\u00e4re dies der GAU und k\u00f6nnte Windows-Infrastrukturen extrem schw\u00e4chen. Vor allem k\u00f6nnte sich EternalBlue gegen eigene Infrastrukturen richten, da diese ebenfalls mit Windows arbeiteten.<\/p>\n

In der ersten Zeit, als ExternalBlue entwickelt worden war, erwies sich der Exploit noch als unzuverl\u00e4ssig. Der Einsatz musste daher von h\u00f6chsten NSA-Stellen genehmigt werden. Als der Exploit mehr und mehr verbessert wurde, sank die Schwelle f\u00fcr den Einsatz.<\/p>\n

Man diskutierte bei der NSA, ob die von ExternalBlue genutzte Sicherheitsl\u00fccke, wegen der potentiellen Gefahr, an Microsoft gemeldet werden solle. Aber es passierte nichts, die NSA nutze EternalBlue f\u00fcnf Jahre weiter \u2013 quasi mit dem Wissen 'Dynamit-Fischen zu betreiben', wie es ein Mitarbeiter ausdr\u00fcckte. Die erbeuteten Geheimnisse h\u00e4tten das gerechtfertigt, so die Aussage der Ex-Schlapph\u00fcte. So viel zur Frage 'Spionage und Wirtschaftsspionage' \u00fcber US-Betriebssysteme, mal nebenbei angemerkt. W\u00e4hrend dieser Zeit gab es \u00fcbrigens mehrere kritische Sicherheitsvorf\u00e4lle in Windows-Systemen.<\/p>\n

Die NSA l\u00e4sst die Hosen runter<\/h3>\n

Als dann ruchbar wurde, dass die Hacker-Gruppe Shadow Brokers NSA-Tools und Unterlagen erbeutete und diese ver\u00f6ffentlichen wolle, ging den Verantwortlichen der Arsch auf Grundeis. Im August 2016 hatte Shadow Brokers bereits einiges kritisches Material ver\u00f6ffentlicht (Sicherheitsinfos (20. August 2016)<\/a>). Ab diesem Zeitpunkt muss den NSA-Verantwortlichen klar gewesen sein, dass auch Informationen zur bei WannaCry genutzten Sicherheitsl\u00fccke sowie die Tools (z.B. ExternalBlue) zur Ausnutzung dieser L\u00fccke darunter war.<\/p>\n

Es gab Krisensitzungen bei Obama und es war klar, dass sich die Waffen auch gegen die US-Infrastruktur anwenden lie\u00dfen. Das US-Verteidigungsministerium war pl\u00f6tzlich selbst potentiell mit seinen Windows-Systemen verwundbar. Die NSA begann dann US-Unternehmen \u00fcber Sicherheitsl\u00fccken zu informieren. Offenbar hat die NSA dann auch Microsoft gewarnt und \u00fcber die Sicherheitsl\u00fccke informiert, als klar war, dass auch EternalBlue darunter sei. Daher konnte Microsoft f\u00fcr M\u00e4rz 2017 einen Patch f\u00fcr die noch unterst\u00fctzten Sicherheitsl\u00fccken entwickeln.<\/p>\n

Ich interpretiere (\u00e4hnlich wie heise.de<\/a>) den Artikel in der Washington Post so, dass die Warnung wohl im Februar 2017 so kurzfristig erfolgte, dass Microsoft sich entschloss, den Patchday ausfallen zu lassen. Erst als die SMBv1-L\u00fccke geschlossen war, wurde der betreffende Patch im M\u00e4rz 2017 ver\u00f6ffentlicht. Ich schrieb im Beitrag Ups, Patchday f\u00e4llt heute aus, wegen Bugs \u2026<\/a>.: Ungefixt sind aktuell zumindest: dies SMB Zero-Day-Sicherheitsl\u00fccke in Windows 8.1\/10\/Server<\/a>. Das erkl\u00e4rt auch, warum Microsoft nach dem Shadow Brokers-Leak fix Entwarnung f\u00fcr Windows geben konnte (siehe Shadow Browker: Geleakte NSA-Tools weitgehend unwirksam<\/a>).<\/p>\n

Leider wurde es von der NSA vers\u00e4umt, \u00fcber die Gef\u00e4hrlichkeit der L\u00fccke zu informieren \u2013 so dass WannaCry sein Werk Monate sp\u00e4ter verrichten konnte. Ich denke, in den USA ist die Diskussion \u00fcber das Agieren der NSA l\u00e4ngst nicht abgeschlossen, zumal auch US-Unternehmen Sch\u00e4den durch WannaCry davon trugen. Jetzt zu verbreiten, mit dem Umstieg auf Windows 10 sei man 'sicherer' halte ich f\u00fcr naiv. Durch die 18 Monate Supportzyklen f\u00fcr Windows 10-Builds wird das Problem eher noch versch\u00e4rft.<\/p>\n

Brisant: Patch f\u00fcr Windows XP verz\u00f6gert<\/h2>\n

Ich hatte es ja im Beitrag WannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a> hatte ich bereits erw\u00e4hnt, dass Microsoft den Patch f\u00fcr die SMBv1-Sicherheitsl\u00fccke f\u00fcr Windows XP im Februar 2017 entwickelt haben musste. Der Patch wurde im M\u00e4rz 2017 an Windows Embedded und an zahlende Kunden f\u00fcr Windows XP ausgerollt. ZDNet.com schreibt in diesem deutschen Artikel<\/a>, dass Microsoft den Patch absichtlich f\u00fcr die Allgemeinheit zur\u00fcckgehalten habe. Aktuell liegen die Geb\u00fchren f\u00fcr den erweiterten Support von Windows XP bei 1.000 US $ pro Rechner und Jahr, wobei mindestens 750.000 US$ f\u00e4llig werden. Das Maximum wird bei 25 Millionen Dollar gekappt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSicherheitsinfos (20. August 2016)<\/a>
\nShadow Browkers: Geleakte NSA-Tools weitgehend unwirksam<\/a>
\nShadow Brokers Leak: NSA hat Banken \u00fcber SWIFT gehackt<\/a>
\nWikiLeaks enth\u00fcllt CIA Windows Spyware Framework Athena<\/a>
\nRansomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
\nWannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im Februar 2017 teilte Microsoft kurzfristig mit, dass der 'Patchday' auf M\u00e4rz verschoben sei (siehe Ups, Patchday f\u00e4llt heute aus, wegen Bugs \u2026). Nun wird bekannt, dass die NSA eine Sicherheitsl\u00fccke aus Angst vor einer Ver\u00f6ffentlichung durch die Hackergruppe Shadow … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[672,2860,4328,4315,3288],"class_list":["post-190538","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-microsoft","tag-nsa","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190538","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190538"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190538\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190538"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190538"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190538"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}