Microsoft warnt nach Zero-Day-Leaks vor neuen Risiken

Microsoft geht nach mehreren veröffentlichten Zero-Day-Schwachstellen in die Offensive. In einem aktuellen Blogbeitrag kritisiert der Konzern, dass in den vergangenen Wochen mehrere Sicherheitslücken öffentlich bekannt gemacht wurden, ohne dass Microsoft vorab informiert worden sei. Das habe Kund:innen "unnötig gefährdet", weil Angreifer so schneller an technische Details und Beispielcode gelangen könnten.

Betroffen sind laut Microsoft unter anderem die Schwachstellen RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma. Der Konzern betont, diese Lücken seien nicht verantwortungsvoll offengelegt worden. Statt einer koordinierten Meldung habe es Veröffentlichungen gegeben, bevor Schutzmaßnahmen und Updates bereitstanden.

Microsoft pocht auf das Prinzip der koordinierten Meldung

Normalerweise läuft so etwas über das Verfahren der Coordinated Vulnerability Disclosure (CVD). Dabei melden Sicherheitsforscher:innen eine Schwachstelle zunächst vertraulich an den Hersteller. Dieser bekommt dann Zeit, die Lücke zu prüfen, Kund:innen zu schützen und ein Update zu entwickeln, bevor technische Details öffentlich werden. Microsoft schreibt, man arbeite jedes Jahr mit Hunderten Forscher:innen auf diese Weise zusammen.

Besonders deutlich wird der Konzern beim Thema Beispielcode. "Unkoordinierte Veröffentlichungen, durch die Proof-of-Concept-Code für ungepatchte Sicherheitslücken in die Hände von Angreifern gelangt, sind niemals zu rechtfertigen und haben reale Konsequenzen", erklärt Microsoft. Zugleich kündigt das Unternehmen an, seine Digital Crimes Unit werde weiter gegen Angreifer und diejenigen vorgehen, die kriminelle Aktivitäten ermöglichten – auch in Zusammenarbeit mit Strafverfolgungsbehörden weltweit.

Forscher:innen weist Vorwürfe zurück

Der Fall ist allerdings komplizierter, als Microsoft es in seinem Statement darstellt. Wie unter anderem heise online berichtet, wird ein Teil der zuletzt veröffentlichten Windows-Lücken dem Pseudonym Nightmare Eclipse zugeschrieben. Der mutmaßliche Entdecker weist den Vorwurf zurück, gegen CVD-Regeln verstoßen zu haben. In einem Blogbeitrag spricht er von "Diffamierung" und behauptet, Microsoft habe sein MSRC-Konto, über das er Schwachstellen gemeldet habe, zunächst gesperrt und später gelöscht – ohne klare Begründung.

Zusätzliche Brisanz: Das zugehörige GitHub-Konto wurde inzwischen entfernt. Das war für Microsoft vergleichsweise einfach, weil GitHub zum Konzern gehört. In der Sicherheits-Community sorgt das dennoch für Kritik. Einige Expert:innen warnen seit Jahren davor, zu schnell mit juristischen Drohungen oder harten Plattform-Eingriffen zu reagieren. Das könne dazu führen, dass Forscher:innen weniger bereit seien, Schwachstellen überhaupt zu melden.

Auch in den News:

• Sicherheitsrisiko bei Microsoft Authenticator: Update kann gefährliche Lücke schließen

• Massive Sicherheitslücke in Microsoft Edge aufgedeckt: Passwörter offenbar nicht sicher

• Wie geht es für den Bill & Melinda Gates Foundation Trust weiter? Microsoft-Gründer verkauft alle Anteile

Streit mit Folgen für das Vertrauen

Microsoft selbst versucht, diesen Eindruck abzufedern. Im Blogpost heißt es ausdrücklich, man werde weiterhin Hinweise "von jeder Person" über das öffentliche Forschungsportal annehmen – unabhängig von früheren Kontakten oder vom Ruf der meldenden Person. Gleichzeitig zeigt der Fall, wie stark das Vertrauen zwischen Herstellern und Sicherheitsforschung inzwischen belastet sein kann.