(Un)responsible disclosure von 8 sensiblen Windows-Lücken

Volker: Moin Moin und herzlich willkommen zum Podcast die Sicherheitslücke.

Volker: Wir zeichnen heute am 19.06.26 um 14.45 Uhr auf

Volker: mit den Themen acht schwerwiegende Sicherheitslücken in Microsoft Windows und

Volker: deren Veröffentlichungsprozess auch Coordinated Vulnerability Disclosure oder

Volker: CVD, beziehungsweise kurz Responsible Disclosure genannt.

Volker: Ausnahmsweise haben wir heute auch mal den Aufzeichnungstermin wirklich mit

Volker: eingesprochen, Da gerade so eine Art Katz-und-Maus-Spiel zwischen dem Researcher, der diese ganzen,

Volker: Sicherheitslücken entdeckt hat und publiziert, entsteht und Microsoft,

Volker: die dann irgendwelche Bugfixes.

Volker: Ausrollen mit ihren Security-Patches.

Volker: Und dann gerade passiert wieder ein Tag nach diesem Patch, das ausgerollt wird,

Volker: zu einem gepatchten Fix wieder ein neuer Exploit von dem Security-Researcher kommt.

Volker: Daher also bitte, falls nach 14.45 Uhr des heutigen Tages irgendetwas passieren

Volker: sollte, vielleicht gibt es da noch mal eine Update-Folge.

Volker: Grundsätzlich geht es darum, dass ein Sicherheitsforscher, der unter mehreren

Volker: Pseudonymen agiert, Nightmare Eclipse ist ein GitHub-Handle,

Volker: das mittlerweile gelöscht wurde von GitHub.

Volker: Aber auch Chaotic Eclipse und Dead Eclipse sind in seinem Blog als Namen hinterlegt.

Volker: Und seit neuestem, seitdem als Nightmare Eclipse gelöscht wurde,

Volker: hat er sich dann nach MS Nightmare, also Microsoft Nightmare oder auch Mr.

Volker: Nightmare umbenannt. Also nicht Mr. Nightmare, sondern der Bezug auf Mr.

Volker: Nightmare und hat dann acht erhebliche Sicherheitslücken und zwar in Kern-Sicherheitsfunktionen.

Volker: Das ist ja gerade noch das Spannende von Microsoft Windows gefunden,

Volker: darunter im Wesentlichen Microsoft Defender und BitLocker.

Volker: Einmal kurz aufgezählt, damit die Leute, die unter unseren Zuhörern und Zuhörerinnen,

Volker: in Rechenzentren oder irgendwie verantwortlichen Positionen für Bugfixes arbeiten,

Volker: werde ich jetzt einmal kurz die CVE-Nummern nennen, die sich ja im Wesentlichen

Volker: immer nur den letzten fünf Ziffern unterscheiden.

Volker: Aber ganz kurz, es geht um Bluehammer. Das ist CVE 2026-33825.

Volker: Könnt ihr auch in unseren Shownotes nachgucken.

Volker: Das ist schon gepatcht und zwar seit dem 14. April.

Volker: Es gibt Red Sun, das ist die letzte Nummer 41091, auch gepatcht am 21. Mai.

Volker: Undefend CVE 45498, gepatcht am 21. Mai.

Volker: Yellow Key 45585, gepatcht am 9. Juni über ein reguläres Patch.

Volker: Dann gibt es Green Plasma 45586, auch gepatcht am 9. Juni mit einem regulären Patch.

Volker: Dann gab es Mini Plasma, das mit 17103 unvollständig gepatcht wurde 2020.

Volker: Und daraufhin hat der Forscher dann wieder aufgesetzt. Das wurde auch wiederum gepatcht.

Volker: Und dann gibt es jetzt noch als Neueste das Rogue Planet und das ist die Nummer 50606.

Volker: Das ist von ihm eine Reaktion auf den Patch von Blue Hammer und da ist wiederum

Volker: kein Patch bisher verfügbar, weil Microsoft noch nicht so weit ist,

Volker: dass sie diese Sicherheitslücke fixen konnten.

Volker: Das Besondere an diesen Sicherheitslücken und das ist erstaunlich wie auch aufregend,

Volker: also aufregend im Sinne von verärgernd zugleich, diese Sicherheitslücken wurden

Volker: von dem Nightmare Clips oder Mr.

Volker: MS Nightmare herausgegeben und mit Proof of Concepts, also POCs hinterlegt und.

Volker: Ohne Microsoft vorher die ausreichende Chance zu geben, diese zu fixen.

Volker: Das heißt, sie sind jetzt in the wild, im Feld schon als Exploits festzustellen.

Volker: Jetzt sage ich aber mal dazu, so ist die Story dahinter.

Volker: Wie viel Zeit Microsoft wirklich für irgendwas hatte.

Volker: Das wird auch von Microsoft nicht wirklich offengelegt, denn

Volker: es gibt auch die andere Seite der Story, wo nachher gesagt wird,

Volker: diese Lücken wurden durchaus Microsoft rechtzeitig angekündigt,

Volker: aber aufgrund von Personalreduktion von Microsoft,

Volker: wurde es dann so gemacht, dass bestimmte Prozesse verschärft wurden.

Volker: Und eine mehr oder eine Geschichte lautet nun, es müssen jetzt auch Video-Proof-of-Concepts

Volker: reingebracht werden, damit die Sicherheitsforscher bei Microsoft nicht originär

Volker: nachprüfen müssen, ob dieser Quellcode funktioniert.

Volker: Viele der Sicherheitsforscher haben aber keine Lust darauf, jetzt nochmal wieder

Volker: ein Video aufzunehmen und möglicherweise wurden jetzt die Videos nicht hochgeladen,

Volker: sodass dann dieser Prozess als unvollständig angenommen wurde und diese Sicherheitslücken

Volker: einfach ignoriert wurden, weil ein Microsoft-Prozess verletzt wurde.

Volker: Und das ist jetzt die Abwägung, die wir auch nachher noch diskutieren werden,

Volker: zwischen wann darf ein Sicherheitsforscher, eine Forscherin die Informationen

Volker: einfach dann publizieren, weil das Unternehmen nicht agiert.

Volker: Und wann ist es so gefährlich, dass es vielleicht doch nicht gemacht werden soll?

Volker: Dazu werden wir auch keine Lösung präsentieren, aber zumindest durchaus ein paar Argumente.

Volker: Aber ich würde jetzt sagen, also wir, herzlich willkommen erstmal.

Volker: Wir, das sind heute nur Volker Skwarek von der HAW Hamburg und.

Monina: Monina Schwarz vom LSI.

Volker: Und leider nicht Ingo Timm, der heute leider verhindert ist.

Volker: Aber er wird sicherlich uns aus der Ferne zuhören, wenn dieser Podcast publiziert wird.

Volker: Ich würde sagen, Monina, starte du erstmal mit deinen Sicherheitslücken,

Volker: also für die Zuhörenden.

Volker: Wir haben so die acht Sicherheitslücken ein bisschen unter uns aufgeteilt,

Volker: ein bisschen geklastert und daraus so vier Abschnitte gemacht,

Volker: wo wir die vorstellen mit Mechanismen, Gefährdung und so allgemeinem Vorgehen

Volker: in der Sicherheitslücke.

Volker: Und Monina fängt auch erstmal an mit ihren beiden, oder?

Monina: Nachdem, glaube ich, du Blue Hammer hast und das ja einer der Ersten war und

Monina: auch der namensgebend sehr Bekannte, dann fang du doch mal an erst mal.

Volker: Alles klar. Naja, okay. Wer kann da schon widersprechen? Überredet.

Volker: Ich erkläre jetzt erstmal am Blog die drei Sicherheitslücken Blue Hammer,

Volker: Red Sun und Undefendant.

Volker: Und diese drei Lücken sind alles drei Verwundbarkeiten von Microsoft Defender.

Volker: Und sie sind in der Lage, diesen MSD, also Microsoft Defender,

Volker: kurz MSD, in seiner Funktion vollständig auszuhebeln.

Volker: Das Ding läuft und der Researcher hat sogar noch den Nachweis gebracht,

Volker: nee, den hat er nicht gebracht, den wollte er nicht disclosen.

Volker: Er hatte für sich den Nachweis gebracht, dass er sogar das Display,

Volker: dass die User-Anzeige über die Funktionsfähigkeit von Microsoft Defender

Volker: so täuschen kann, dass Microsoft Defender anzeigt, dass er funktioniert,

Volker: aber zum Beispiel ein Update, ein Signatur-Update nicht gefahren hat.

Volker: Das darf eigentlich gar nicht passieren.

Volker: Aber ich fange mal an, also bevor ich mich jetzt hier aufrege,

Volker: ich fange mal an mit Blue Hammer, dem ersten und ältesten Exploit.

Volker: Am 2. April wurde er veröffentlicht und am 3. April wurde quasi der vollständige

Volker: Code für den Proof of Concept und genau für den Exploit veröffentlicht.

Volker: Und wir greifen hier, es ist kein Fehler des Systems, Es ist kein Shell-Code,

Volker: kein Memory-Corruption oder was auch immer man so kennt.

Volker: Da wurde irgendwas falsch gemacht. Es wird die Grundfunktionalität von Windows

Volker: genutzt, nur in einer anderen Reihenfolge, als sie von Microsoft vorgesehen war.

Volker: Und das ist genau das Kritische an allen diesen Sicherheitslücken, die wir vorstellen.

Volker: Denn sie sind eigentlich nicht detektierbar. Also eigentlich, natürlich.

Volker: Es gibt immer irgendwelche Indicators und so weiter. Aber die sind so filigran,

Volker: dass, wir haben es ja schon gesehen, der Sicherheitsforscher,

Volker: sobald ein Patch rausgebracht wurde, gleich wieder in der Lage ist,

Volker: dieses Patch auszuhebeln in einer anderen Reihenfolge.

Volker: Also es geht hier tief ins Betriebssystem und deswegen müssen wir euch so ein

Volker: bisschen erklären, warum wir, oder dass wir da so ein bisschen technischer werden,

Volker: damit ihr versteht, was da passiert und wo ihr euch schützen müsst.

Volker: Also beispielsweise Bluehammer nutzt fünf Komponenten in einer bestimmten Reihenfolge.

Volker: Wir benutzen den Defender als

Volker: Kern, als Betriebssoftware. Wir benutzen den Volume Shadow Copy Service.

Volker: Das heißt, der legt also ein virtuelles Laufwerk oder ein Schattenlaufwerk an,

Volker: in dem dann der Defender arbeitet, quasi als eine geschlossene Sandbox.

Volker: Wir benutzen die Cloud-Files-API, weil wir so tun, als ob wir auf einem Netzwerk

Volker: irgendwas machen, so wie bei OneDrive oder, keine Ahnung, bei Dropbox oder sowas.

Volker: Und diese API nutzen wir, um bestimmte Aktionen auszuüben, die nur wir ausüben

Volker: können als Angreifer und damit das System stilllegen.

Volker: Wir benutzen die sogenannten Opportunistic Logs. Das heißt, wir durch bestimmte

Volker: Aktionen als Angreifer machen eine Sperre auf eine Datei,

Volker: die Microsoft Defender gerade lesen will und lieb wie Microsoft Defender ist,

Volker: wartet es halt, bis die Sperre aufgehoben ist.

Volker: Und sowas nennt man dann auch klassisch Race Condition oder auch mit Fachbegriffen

Volker: TalkTo, also T-O-C-T-U-U, Time of Check, Time of Use.

Volker: Die Nachprüfung eines Rechts oder einer Existenz einer Datei und die Verwendung

Volker: einer, was auch immer, Handles, Datei, Rechts, sind zeitlich getrennt.

Volker: Und wenn ich in die Mitte reinkomme und dann das, was gerade geprüft wurde,

Volker: verändere und das, was nachher getan wird, dann mit dem geänderten gemacht wird.

Volker: Das ist hier diese Race Condition, die immer wieder provoziert wird.

Volker: Der Ablauf ist folgendermaßen, bei dem Blue Hammer zum Beispiel,

Volker: wenn ein neues Update für Defender kommt, wird dieses Volume Shadow Copy angelegt.

Volker: Das heißt, es wird so ein Schattenlaufwerk erzeugt.

Volker: Und in diesem Schattenlaufwerk gibt es eine ganz blöde Eigenschaft,

Volker: nämlich das, was im Betriebssystem komplett für den Fremdzugriff gesperrt wird,

Volker: das SAM, das Security Administration Module, die Datenbank mit den Passworten,

Volker: die ist da drin, damit dieses Shadow Drive funktionieren kann.

Volker: Als nächstes, also das wird angelegt von Microsoft Defender, wenn ein Update kommt.

Volker: Als nächstes registriert Bluehammer, die böse Software, sich als ein Cloud-Serve-File-Provider,

Volker: also als OneDrive oder so.

Volker: Also nicht namentlich sowas, sondern in der Funktion, ich stelle Dateien auf

Volker: einem Netzwerklaufwerk zur Verfügung.

Volker: Und jetzt wird Defender dazu gebracht.

Volker: Eine Datei von diesem Laufwerk zu lesen. Einfach indem ich die zum Beispiel

Volker: öffne, also virtuell fiktiv öffne und jetzt macht Defender einen Check dieser Datei.

Volker: Ich als Service kann aber, also ich als Network-Service kann jetzt aber sagen,

Volker: stopp, die Datei ist gerade gesperrt,

Volker: weil es ist ja mein Netzwerk, mein Netzwerk-Service und der,

Volker: den ich gerade als Angreifer angelegt habe, der kann sagen, warte mal bitte

Volker: mit Zugriff auf die Datei, die nutzt gerade jemand anders.

Volker: Und Defender, gut erzogen wie er ist, liest dann erstmal nicht.

Volker: Und jetzt haben wir die Race Condition.

Volker: Defender hat gerade angefangen, eine Datei zu lesen, also greift gerade auf

Volker: eine Datei zu, ich mache einen Log drauf und jetzt muss Defender warten, bis das Log weg ist.

Volker: Ich habe also quasi alle Zeit der Welt, um jetzt diese Datei,

Volker: die Defender gerade angefasst hat, in etwas anderes zu verwandeln.

Volker: Blue Hammer liest in der Zeit einfach das Security Administration Module aus, liest die Passworte,

Volker: entschlüsselt das mit dem Bootkey, dass ihm mit diesem Shadow Drive auch noch

Volker: gerade mitgeliefert wird und loggt sich als Administrator ein,

Volker: stiehlt Hashes und hat aber dadurch, dass dieses Shadow Drive eine,

Volker: Systemfunktion ist, hat der Admin, dessen Passwort er gerade geklaut hat und

Volker: dessen Passwort er neu angelegt hat, und hat er jetzt Systemrechte.

Volker: Der hat also nicht nur Admin-Rechte, der hat komplett Systemrechte. Mehr geht nicht.

Volker: Ja, also komplizierter Angriff. Und was man dagegen tun kann,

Volker: ist verlinkt in den Shownotes.

Volker: Aber grundsätzlich ist es so, dass wir gucken müssen, ob niedrig privilegierte Prozesse,

Volker: in Windows Service abfragen, die Blue Hammer mit Systemrechten nutzt.

Volker: Das heißt also, ist der User A, B, C, konnte der gerade etwas ausrufen oder

Volker: ausführen, was Systemrechte hat, was nie sein soll.

Volker: Also das ist eigentlich so der Kern dessen, was hier gemacht werden soll.

Volker: Weitere Dinge haben wir hinterlegt in den Shownotes, wobei ich auch da sage,

Volker: das ist eigentlich nicht die Aufgabe einer Administration, das muss ein Endpoint Protection System.

Volker: Übernehmen, das heißt also irgendwelche Virenscanner oder Probes oder sonst irgendwas.

Volker: Der nächste ist spannenderweise Red Sun und im Prinzip funktionierte ähnlich wie Blue Hammer.

Volker: Statt fünf Prozessschritten nutze nur vier.

Volker: Hier ist der Punkt, der nutzt die Links, die symbolischen Links.

Volker: Ich kann unter Windows drei Arten von Links auf Dateien anlegen.

Volker: Link bedeutet, dass ich halt nicht die Datei selbst benutze,

Volker: sondern mir irgendwie ein Dummy anlege, das auf die Datei verweist.

Volker: Und wenn ich dieses Dummy-Ding jetzt starte, dann wird eigentlich die Datei,

Volker: gestartet. Und diese Form von Links, die hier genutzt werden,

Volker: das sind, oder nicht hier, sondern generell, wir unterscheiden zwischen Hard

Volker: Links, Junctions und Symbolic Links.

Volker: Hier werden die Junctions genutzt. Junctions sind Umleitung von Verzeichnissen.

Volker: Das bedeutet also, es wird keine eigene Datei hier angelegt,

Volker: sondern es wird gleich ein gesamtes Verzeichnis neu verlinkt.

Volker: Und ohne den Angriff jetzt unnötig kompliziert machen zu wollen,

Volker: funktioniert das ungefähr folgendermaßen.

Volker: Die Malware RedSun schmuggelt das offizielle IK-Antivirus-Test-File ein.

Volker: Und zwar, indem es verkehrt herum im Speicher abgelegt wird.

Volker: Dadurch kann erst mal Memory Scan unmittelbar nicht funktionieren,

Volker: weil halt dieses Pattern von diesem File erst mal so nicht erkannt wird.

Volker: Und jetzt ist das also auf dem Rechner drauf.

Volker: Und wenn die Datei ausgeführt wird, wird dieser String umgedreht.

Volker: Also jetzt ist sozusagen dieses völlig harmlose Antivirus-Test-File auf dem

Volker: Rechner aktiv, weil vorher würde es vielleicht schon von einer Firewall geblockt werden.

Volker: Jetzt ist es aktiv und Microsoft Defender sieht jetzt erstmal,

Volker: oh, da ist eine Datei, die muss ich untersuchen und würde jetzt sofort anschlagen.

Volker: Ja, jetzt machen wir wieder dieses TalkTo.

Volker: Das heißt, wir überprüfen oder Time of Check, Time of Use und die Zeit dazwischen,

Volker: die nutzen wir nun, um das Verzeichnis, in dem wir diese Datei abgelegt haben, umzubenennen.

Volker: Wir merken uns aber noch diesen Verzeichnisnamen, damit er nicht verloren ist,

Volker: setzen einen symbolischen Link auf diesen gemerkten Verzeichnisnamen ohne weitere Dateien jetzt drin,

Volker: und verlinken den zum Beispiel auf Windows System 32.

Volker: Da sind alle möglichen Systemdateien drin abgelegt und wir überschreiben nun,

Volker: also nicht wir, sondern das System,

Volker: überschreibt nun eine Datei in diesem Windows System 32 Folder.

Volker: Und durch diesen Symbolic-Link wird die Virus-Datei, die er gerade überprüfen

Volker: wollte, die wir ihm weggeklaut haben, mit einem Symbolic-Link versehen haben,

Volker: auf das Windows 32-Verzeichnis verschoben und dort eine beliebige Datei ausgeführt.

Volker: Also beliebig heißt eine, die wir gerne hätten.

Volker: Und das Coole ist, und wenn ich diese Datei vorher mit etwas überschrieben habe,

Volker: was ich gerne ausgeführt haben möchte, nämlich eine echte Malware,

Volker: dann ist mein Rechner mit Systemrechten dieser Malware quasi in fremder Hand.

Volker: Tja, was kann man da wieder dagegen tun? Zum Beispiel, wenn jemand von falschen,

Volker: Pfaden, das ist immer dieser Temp, das Working Directory, das hier genutzt wird.

Volker: Wenn von einem Temp-Directory dann auf System32 zugegriffen wird,

Volker: dann ist das offensichtlich ein solcher Link, weil ich lese das Temp-Directory und lande im System32.

Volker: Das müsste eigentlich ein Endpoint-Detection-System unterbinden.

Volker: Tja, muss man reinprogrammieren, dann geht das. Nur irgendwann denkt sich dann

Volker: der Hacker irgendeine andere Sicherheitslücke aus oder eine andere Schwachstelle,

Volker: weil es ja einfach ein legitimes Verfahren ist, wie man unter Windows arbeiten kann.

Volker: Das letzte ist dann das Undefend, also wir haben gerade gesprochen von Blue

Volker: Hammer, Red Sun und der dritte ist Undefend und hier wird im Prinzip mit einem ähnlichen Mechanismus,

Volker: das Definition Update, also Microsoft Defender Definition Update und die Key

Volker: Signaturen, also die Filesignaturen werden gehemmt.

Volker: Das bedeutet, Microsoft Defender möchte jetzt auf seine File-Signaturen zugreifen,

Volker: um ein Update einzuspielen.

Volker: Ich packe da ein Log drauf mit den Mechanismen, die ich da gerade beschrieben

Volker: habe, weil ich habe gerade beschrieben, wie ich ein Verzeichnis übernehmen kann

Volker: und wie ich eine Datei übernehmen kann.

Volker: Und das, was Microsoft Defender jetzt macht, ist ja nichts anderes,

Volker: als dass er in einem Verzeichnis eine Datei überschreiben will mit neuen Signaturen.

Volker: Und dieses unterbinde ich ihm jetzt durch genau die vorher beschriebenen Mechanismen

Volker: und das bedeutet, dass Microsoft Defender nicht mal mehr neue Signaturfiles runterladen kann.

Volker: Das bedeutet, was wir jetzt gemacht haben, wir haben ihm Nutzer-Datenbanken geklaut,

Volker: wir haben das System dazu gebracht, Dateien auszuführen mit Systemrechten,

Volker: die ich gerne hätte, diese Dateien,

Volker: und wir verhindern, dass Microsoft Defender jetzt auch noch System-Updates hinterher

Volker: spielen kann, um zum Beispiel meine Signaturen, die ich alle hinterlassen habe,

Volker: wie zum Beispiel dieses I-Card-Test-File,

Volker: als Signatur zu hinterlegen, falls sowas detektiert wird.

Volker: Ja, kann er gerne hinterlegen. Er kommt nur leider an seine eigene Datei nicht

Volker: ran, wo er das reinschreiben möchte.

Volker: Ich möchte jetzt nicht in Ehrfurcht ausbrechen, sondern es ist natürlich super

Volker: kritisch, was da detektiert und gefunden wurde und exploitet werden kann.

Volker: Aber ich finde die Genialität, solche Prozesse zu durchschauen und in anderer

Volker: Reihenfolge als bösartig dann zu benutzen, schon, boah,

Volker: ich will es nicht verharmlosen, aber irgendwie doch schon bewundern oder anerkennenswert.

Volker: Ich kann es leider nicht anders sagen.

Volker: Ich übergebe dann mal an Monina mit ihren Sicherheitslücken.

Monina: Ja, dann kommen wir zu zwei weiteren, die sich auch insofern ändern,

Monina: dass das beides Privilege Escalations sind, also rechte Ausweitungen,

Monina: die bewirken, dass man als normaler

Monina: Benutzer danach mit Admin-Rechten eine Command-Line hat oder dergleichen.

Monina: Wir haben zwei und die erste ist insofern interessant, da sie eigentlich auf

Monina: einer alten Schwachstelle beruht.

Monina: Die Mini-Plasma-Schwachstelle, die hebelt die rechte Verwaltung von Windows

Monina: 11 aus und gewährt Angreifern unbefugten Systemrechte mit einer Race Condition.

Monina: Das Ganze beruht auf einer alten Sicherheitslücke von 2020 von einem anderen

Monina: Sicherheitsforscher namens James Forshaw von Google Project Zero.

Monina: Und da gibt es so ein bisschen die Geschichte, dass der Sicherheitsforscher,

Monina: über den wir hier eigentlich sprechen.

Monina: Mal aufgefordert wurde, da reinzuschauen oder mal reingeschaut hat und dann

Monina: sehr überrascht war, dass diese Sicherheitslücke noch funktioniert.

Monina: Weil die damals eigentlich gepatcht worden war, 2020, nachdem sie damals offiziell bekannt wurde.

Monina: Entweder wurde der Patch irgendwann zurückgerollt oder der Patch hat es nicht

Monina: ganz behoben. Jedenfalls funktioniert das scheinbar immer noch.

Monina: Und das Ganze beruht auf den Cloud-Fileschreibern, also einer Kernkomponente

Monina: von Microsoft Windows, die dafür verantwortlich ist, wie Cloud-Speicherdienste,

Monina: mit Files interagieren.

Monina: Zum Beispiel OneDrive, wenn OneDrive in einem Ordner Files anzeigt,

Monina: die aber noch nicht lokal auf dem System gedownloadet sind, sind das Platzhalter

Monina: und erst wenn man diese Dateien benutzen möchte, werden die quasi gedownloadet.

Monina: Der Exploit nutzt die Art und Weise aus, wie dieser Cloud-Treiber jetzt mit

Monina: der Erstellung von Registry-Keys umgeht.

Monina: Es wird hier ausgenutzt, dass eine Funktion des Cloud-File-Drivers umgeht,

Monina: dass geprüft wird, ob ein Benutzer überhaupt berechtigt wäre,

Monina: eine Datei an einem Ort abzulegen.

Monina: Und er nutzt auch wiederum aus.

Monina: Dass wenn der User-Hive auf den zugegriffen werden soll von dem Benutzer,

Monina: von dem aus das Ganze getriggert wird, dass wenn der nicht existiert,

Monina: dass der Default-Benutzer wiederum der System-Hive ist.

Monina: Das heißt, ich bin hier dann von dem Benutzer-Kontext plötzlich in dem System-Kontext

Monina: genandet, was so ohne eine Prüfung nicht möglich sein sollte.

Monina: Dazu wird unter anderem auch ausgenutzt, dass wenn ich einen Token-Impersonating

Monina: in Windows machen kann, also sprich, dass ich aus meinem eigenen Kontext von

Monina: meinem Benutzer auf einen Gastbenutzer wechseln kann,

Monina: den Token für eine gewisse Zeit benutze. Ja.

Monina: Dieser Token hat dann keinen eigenen Hive zugeordnet, wodurch der Hive ja gar

Monina: nicht existent ist, was wiederum oben beschrieben den Default auslöst,

Monina: dass ich in dem System Hive mich befinde.

Monina: Dadurch wird hier ein Registry-Key mit einem Symbolic-Link versehen,

Monina: der uns wiederum dazu bringt, dass wir eine Shell gespawnt bekommen im System-Kontext.

Monina: Das ist jetzt auch tatsächlich die Neuerung.

Volker: Was heißt gespawnt, Monina?

Monina: Also, dass sie gestartet wird, Verzeihung. Das ist auch die Neuerung zu der

Monina: alten Schwachstelle, die damals verkündet worden ist, dass der PioC jetzt beinhaltet,

Monina: dass eine Shell am Ende gespawnt wird.

Monina: Ansonsten ist das, soweit ich das zumindest verstanden habe,

Monina: relativ ähnlich oder relativ gleich zu der alten CVE, die es damals gab.

Monina: Ich glaube, du hattest vorhin die CVE auch vorgelesen. Das ist,

Monina: glaube ich, immer noch die 2020er.

Volker: Ja, ich habe da zumindest keine Neue gekriegt. Die wurde scheinbar nicht aktualisiert,

Volker: sondern es ist weiterhin dieselbe.

Monina: Ja, wenn das dieselbe Schwachstelle ist, dann ist das ja auch immer noch entsprechend das Gleiche.

Monina: Die andere Bridge Escalation-Schwachstelle ist Green Plasma.

Monina: Die funktioniert auch wieder wie CTF-Mann, was auch wieder ein Windows-eigener

Monina: Prozess ist. Das ist ein Windows-Hintergrundprozess, das ist ein ausgesprochen

Monina: Windows Collaborative Translation Framework Monitor.

Monina: Das organisiert Textverarbeitung, Texteingaben, Spracherkennung und läuft normalerweise

Monina: im Sicherheitskontext des Benutzers.

Monina: Der Exploit besteht aus zwei Teilen. Eine Objektmanager-Simlink-Platzierung

Monina: auf ein CTF-Session-Objekt, also von diesem CTF-Mon, diesem Tool.

Monina: Und einen anschließenden Registry-Link-Abuse über die Cloud-Files-Richtlinien-Infrastruktur.

Monina: Es werden also Objektmanager-Permissions manipuliert, um ein Objekt in einer

Monina: Art und Weise nur vom System beschreibbaren Bereich abzulegen.

Monina: Und danach wird CTF-Mon dazu gebracht, damit zu interagieren.

Monina: Genau, dadurch haben wir jetzt zwei Privilege Escalation Schwachstellen,

Monina: die bestehende Windows-Prozesse und Windows-Tools da ausnutzen,

Monina: um sich von einem Benutzerkontext in einem Systemkontext zu begeben und dort etwas zu machen.

Monina: Prinzipiell auch hier, wie auch bei den anderen Lücken, die wir bisher genannt

Monina: haben, ist es notwendig, dass wir als Angreifer in irgendeiner Form einmal den

Monina: Nutzer dazu bringen, irgendwas auszuführen oder eine Datei zumindest runterzuladen.

Monina: Das ist bei zwei weiteren Schwachstellen, die noch kommen, anders.

Monina: Die würde ich auch gleich noch vorstellen. Aber Volker, möchtest du dazwischen

Monina: nochmal, dass ich nicht so lange am Stück rede?

Volker: Ja, klar. Wir haben hier draußen gefühlte 35 Grad im Schatten,

Volker: wenn man welchen findet. und die Kehle trocknet schneller aus,

Volker: als man Wasser nachkippen kann.

Volker: Hier auch wieder eine Privilege Escalation von mir.

Volker: Das ist, wie ich hatte ja eben vorgestellt, Blue Hammer und alles das,

Volker: was mit Microsoft Defender gemacht wird und ein paar weiteren Sicherheitslücken.

Volker: Als Blue Hammer gepatcht wurde, hat der liebe Microsoft Nightmare die nächste

Volker: Sicherheitslücke zu Blue Hammer, Also in einer kleinen Variante gebracht.

Volker: Wir erinnern uns, Blue Hammer war das Klauen von Systemrechten,

Volker: indem ich einfach einen nicht privilegierten Nutzer auf Systemrechte anhebe.

Volker: Und jetzt haben wir die Sicherheitslücke Rogue Planet und diese Sicherheitslücke

Volker: macht eigentlich das, was Microsoft Defender machen soll.

Volker: Es soll Sachen überprüfen und mit allen größten Rechten,

Volker: und jetzt wisst ihr schon, worauf es rausläuft, mit allen Rechten,

Volker: die auf einer Maschine zur Verfügung stehen, Dateien lesen, schreiben,

Volker: überprüfen, möglicherweise verändern.

Volker: So, wenn ich das aber kann, mit allen Rechten, dann sind ja keine Dateien vor mir sicher.

Volker: Sollen ja auch nicht vor Microsoft Defender. Ist ja der Gute.

Volker: Und ganz kurz gesprochen, das System funktioniert wieder so,

Volker: dass ich die Zeit zwischen ich lese etwas und ich tue etwas.

Volker: Dass ich die nutze, um das, was ich gerade gelesen habe, also zum Beispiel.

Volker: Eine Datei, die jetzt ausgeführt werden soll, durch eine andere Datei zu ersetzen.

Volker: Das bedeutet, ich lasse das System eine gutartige Datei anlesen.

Volker: Sage ihm jetzt, nein, das halte mal kurz an, also über eine Race Condition,

Volker: schiebe dann über einen symbolischen Link einfach unter dem Namen dieser Datei,

Volker: eine andere Datei da rein, die bösartig ist, aber gerade eben wurde ja diese

Volker: Datei als gutartig bezeichnet.

Volker: Und dann wird durch den Doppelklick auf die gutartige Datei und das Anlesen

Volker: der gutartigen Datei die bösartige Datei ausgeführt.

Volker: Ist eine Weiterentwicklung des Blue Hammer und dazu gab es Stand vor zwei Tagen,

Volker: vor zwei Tagen oder vor drei, gab es noch nicht mal eine CVE.

Volker: Das heißt, Microsoft selbst hat das Ganze noch nicht mal als Sicherheitslücke,

Volker: registriert, anerkannt, wie auch immer und geschweige denn ein Patch.

Volker: Und hier ist auch das Schwierige, wo wir dann nachher darauf zu sprechen kommen,

Volker: Diese ganzen Sicherheitslücken, die wir erwähnen, sind mittlerweile in the wild,

Volker: also im freien System, in der freien Laufbahn, sind sie gefunden worden und ausgenutzt worden.

Volker: Und wie wir schon gesagt haben, ihr könnt euch nicht dagegen wehren.

Volker: Das sind reguläre Windows-Funktionen, nur in einer anderen Reihenfolge ausgeführt.

Volker: So, das war die Lücke von Rogue Planet und jetzt käme Munina noch wieder mit einer.

Monina: Mit zwei sogar. Wir haben hier nochmal zwei Bitlogger, zwei Bitlogger-Umgehungslücken.

Monina: Bitlogger hatten wir schon mal in der vorherigen Folge erwähnt.

Monina: Und dient im Prinzip eigentlich dazu, also hier TPM-Only-Bitlogger,

Monina: relevant, dass man die Festplatte nicht einfach benutzen kann,

Monina: wenn man als Angreifer jetzt einen Laptop in die Hand bekommt.

Monina: Also wenn ich jetzt meinen Laptop in der U-Bahn vergesse oder sonst wo oder

Monina: er mir geklaut wird, kann ein Angreifer erstmal nicht auf die Daten auf meinem

Monina: Laufwerk zugreifen. Dafür soll Bitlogger dienen und man kann das mit Preboot-Pin machen.

Monina: Der würde hier vermutlich den Angriff oder die beiden Angriffe verhindern.

Monina: Vermutlich insofern, dass die POCs sich nur auf Bitlockern ohne den Preboot-Pin beziehen.

Monina: Aber laut Eigenaussage des Sicherheitsforschenden hier geht das wohl auch mit.

Monina: Aber zumindest, wie gesagt, der POC lässt nur oft das ganze TPM-Only-Mode schließen.

Volker: Aber Preboot-PIN heißt, es ist ein Boot-Passwort, das ich eingeben muss oder sowas.

Monina: Ich muss nochmal, bevor ich überhaupt starte und bevor ich überhaupt zu meinem

Monina: Windows komme, einen PIN eingeben, dass ich überhaupt das ganze System benutzen darf.

Monina: Genau, das ist noch nicht die Regel, dass das benutzt wird, weil das natürlich

Monina: nochmal zusätzlich umständlich für die Benutzer ist, deswegen wird das oft nicht

Monina: gemacht, würde aber wie gesagt hier vermutlich diesen Angriff unterbinden oder beide.

Monina: Genau. Was ist jetzt Yellow Key?

Monina: Das ist ein Fehler in der Wiederherstellungsumgebung rund um Bitlogger,

Monina: die mit physischem Zugriff dem Angreifer erlaubt, die Schutzmaßnahmen zu umgehen

Monina: und auf das betroffene System zuzugreifen und zwar unverschlüsselt,

Monina: also auf die Daten unverschlüsselt zuzugreifen.

Monina: Da wird die Windows-Wiederherstellungsumgebung ausgenutzt, also die Windows-Wiederherstellungsumgebung,

Monina: und es werden sogenannte FSTX-Dateien benutzt.

Monina: Das sind Transactional-NTFS-Dateien, also das sind atomare Aktionen auf dem NTFS-File-System.

Monina: Atomar bedeutet schlicht und ergreifend, entweder sie funktionieren komplett oder sie scheitern.

Monina: Also Atom ist der Teil der Wahrheit, also entweder es ist im Kompletten oder auch nicht.

Monina: Die sind prinzipiell dazu da, um eine gewisse Stabilität in das System reinzubringen.

Monina: Die werden hier ausgenutzt. Wir müssen als Angreifer hier einen USB-Stick mitbringen

Monina: mit dem vorbereiteten System Volume Information FSTX.

Monina: Und das den Laptop oder das System haben, auf das wir zugreifen wollen.

Monina: Dann stecken wir als Angreifer das Ganze ein und kommen damit auf unser System drauf.

Monina: Beziehungsweise haben eine Shell und können zugreifen.

Monina: Das heißt, als Angreifer stecken

Monina: wir unseren USB-Stick ein, starten das System, gehen in Recovery Mode.

Monina: Und haben dann eine Shell mit unbeschränktem Zugriff auf das eigentlich vom

Monina: Bitlocker geschützte Laufwerk anstelle der Windows-Recovery-Umgebung.

Monina: Das sollte bei Windows 11 und Windows Server 2020, so wie 25 oder bis 25 funktionieren.

Monina: Und das ist der Angriff Yellow Key.

Monina: Wie gesagt, funktioniert nicht, wenn man oder kann man auch umgehen,

Monina: indem man einen Preboot-Pin setzt.

Monina: Die GreatXML-Bitlocker-Schwachstelle funktioniert grob ähnlich oder targetet derselben Kontext.

Monina: Für die Durchführung des Angriffes müssen spezifische Dateien auf das T-System übertragen werden.

Monina: Der Programmcode erfordert das Kopieren einer XML-Datei sowie eines separaten

Monina: Wiederherstellungsordners, der eine weitere XML-Datei enthält,

Monina: in das Stammverzeichnis der Wiederherstellungspartition des Computers.

Monina: Anschließend muss das System in den Wiederherstellungsmodus versetzt werden,

Monina: den wir vorhin schon mal hatten, durch das Gedrückthalten, der Shift-Taste beim

Monina: Klicken auf die Neustartfläche.

Monina: Nach dem Hochfahren erhält der Angreifer dann oder die Angreiferin unbeschränkten

Monina: Zugriff auf das eigentlich durch Bitlogger geschützte Laufwerksvolumen.

Monina: Die Ausnutzung dieser Schwachstelle erfordert, dass die Offline-Suchfunktion

Monina: von Microsoft Defender irgendwann mal aktiv war oder vom Angreifer vorher gezielt gestartet wurde.

Monina: Das Relevante an dem Angriff hier ist, dass ich davor als Angreifer sogar schon

Monina: Admin-Rechte haben muss und überhaupt hier meine Partition zu mounten,

Monina: in der ich dann etwas ablegen möchte, was später passiert.

Monina: Benutzt wird, aber es ist ein sozusagen Post-Compromise-Tool,

Monina: ich kann es als Angreifer benutzen, wenn ich bereits auf dem System bin und

Monina: Atembenrechte habe, was ja schon eine relativ hohe Hürde ist,

Monina: dafür bin ich dann an dem System so weit verewigt, dass ich auch selbst nach credentialverlust,

Monina: oder nach Verlust meiner eigentlichen Remote-Zugriff-Methode,

Monina: die ich ja scheinbar schon habe an dem Punkt,

Monina: trotzdem ich das System hier physikalisch in die Hände bekomme,

Monina: einfach so auf das System darauf zugreifen kann und am Bitlogger vorbeikomme.

Volker: Hier ist ja das Spannende, dass Microsoft angeblich gesagt hat,

Volker: naja, das ist ja gar keine Sicherheitslücke, da muss derjenige ja komplett im

Volker: Besitz des Systems sein und so weiter und dann ist es ja noch eine Windows-Funktion.

Volker: Also das ist ja so, wie es gewollt ist, plus ich muss manuellen,

Volker: physischen, alleinigen, eskalierten Zugriff auf das System haben.

Volker: Und dass Microsoft, ja, möglicherweise können sie in ihrer Grundmentalität da recht haben.

Volker: Nur ich widerspreche da vehement, weil wir ja gerade eben oder mit Blue Hammer,

Volker: nee, mit Red Sun, Entschuldigung, gesehen, nee, Blue Hammer,

Volker: Blue Hammer war es, gesehen haben, wie ich Nutzerrechte eskaliere.

Volker: Ich kann also über ein Defender-Manipulation auf das SAM.com mir einen Administrator-User

Volker: anlegen, der Systemrechte hat.

Volker: Und das mache ich einfach per Remote, indem ich da einfach irgendwo,

Volker: eine Spam-E-Mail hinschicke mit klicken Sie bitte hier, dann wird derjenige

Volker: gefischt, lädt das runter, die Software ist auf seinem System,

Volker: auf ihrem System, wie auch immer und startet das ganze Ding.

Volker: So, diese Software ist self-running, das heißt völlig interaktionslos,

Volker: einmal Doppel geklickt und das ist kompromittiert das System und im zweiten

Volker: Schritt mache ich dann schön dieses BitLocker-Bypass und,

Volker: habe jetzt sogar vollen Zugriff auf allverschlüsselte.

Volker: Partitionen. Und ich finde das so cool, weil das erinnert mich an so einen Angriff,

Volker: der auf den Chaos Communication Congress vorgestellt wurde, mit wie sich die,

Volker: BitLocker, wie sich BitLocker umgehen lässt, indem ich BitLocker im Recovery-Modus

Volker: dann starte oder das System im Recovery-Modus und dort dann anhalte,

Volker: dann habe ich nämlich die Recovery-Partition ohne BitLocker,

Volker: allerdings mit allen Systeminformationen, die halt so eine Partition braucht.

Volker: Und da wurde dann, ich habe diesen Angriff nicht komplett verstanden,

Volker: deswegen klingt er jetzt so ein bisschen dahingestolpert,

Volker: aber der hier ist ja so ähnlich und ich finde das,

Volker: richtig genial, also genial nicht im Sinne von kriminellen Energie,

Volker: sondern genial im Sinne von intellektuellen Fähigkeiten, einen Angriff so weiterzuentwickeln, dass er,

Volker: im Prinzip Microsoft Windows in seinem Herz berührt.

Volker: Und das finde ich schon ziemlich krass.

Monina: Es ist vor allem auch die Fülle an Angriffen, die hier so beeindruckt sind.

Monina: Also ich meine, jeder Angriff ist im Prinzip ein Puzzleteil in der Toolbox von einem Angreifer.

Monina: So, was habe ich für Systeme, die vor mir liegen?

Monina: An was komme ich ran? Komme ich physisch ran? Kann ich dem Nutzer irgendeine Datei unterschieben?

Monina: Bin ich auf dem System schon drauf, möchte aber höhere Rechte und dieser Sicherheitsforscher

Monina: oder die Sicherheitsforscherin, ich glaube, es ist ein Forscher, oder?

Volker: Vermutet zumindest. Man weiß es nicht. Man kennt das Original dazu nicht,

Volker: man kennt nur die Pseudonyme.

Monina: Also diese Person liefert so dermaßen viele Puzzleteile, die so tiefgreifend,

Monina: wie du sagtest, in Windows einschneiden und sich einfach relativ gut zusammenpuzzeln lassen.

Monina: Eventuell auch mit anderen Angriffen, aber auch alleine mit diesen acht Angriffen

Monina: schon, um wirklich grundlegend ranzukommen an alles, was man so als Angreifer

Monina: irgendwie haben möchte.

Monina: Das ist schon eine beeindruckende Leistung.

Volker: Da sind wir jetzt auch bei diesem klassischen Thema Responsible oder Unresponsible Disclosure.

Volker: Eigentlich immer wieder so ein Dauerbrenner. Wie funktioniert eigentlich die

Volker: Responsible Disclosure?

Volker: Und das muss man sagen, ist ein Prozess, der nur dann funktioniert,

Volker: wenn beide Parteien, also Sicherheitsforscher als auch die betroffene Firma,

Volker: aktiv mit dem Willen, es zu lösen, voranarbeiten.

Volker: Also es gibt dafür Prozesse, wir haben was verlinkt vom BSI,

Volker: wir haben was verlinkt vom amerikanischen CISA.

Volker: Es gibt auch unternehmensinterne Prozesse, die sind jetzt nicht alle irgendwie

Volker: groß standardisiert oder sowas.

Volker: Aber da ist es einfach so, sobald einer der beiden Player keine Lust mehr hat,

Volker: sich an diesem Prozess zu halten, dann haben wir ein Problem.

Volker: Entweder weil ein Unternehmen dieses nicht als Sicherheitslücke anerkennt,

Volker: Das ist die eine Variante. Da gäbe es meines Wissens nach in Deutschland,

Volker: ich habe das Dokument jetzt nicht voll gelesen, aber.

Volker: Ich könnte mich zum Beispiel ans BSI wenden, wobei das BSI immer sagt,

Volker: aber vorher muss es bitte an den Hersteller gemeldet worden sein.

Volker: Gut, ich melde es an den Hersteller, der Hersteller reagiert nicht,

Volker: ich melde es jetzt dem BSI.

Volker: Damit ist aber wieder Zeit vergangen. So, das ist so auf der einen Seite.

Volker: Auf der anderen Seite ist das, was der Sicherheitsforscher jetzt gemacht hat,

Volker: ich haue das einfach mal raus.

Volker: Wenn mir die zu blöd kommen, dann publiziere ich es einfach. So, was tun? Monina?

Monina: Ich muss auch sagen, man hatte ja die Argumentation, ja, man muss doch als Sicherheitsforscher

Monina: hier verantwortungsvoll damit vorgehen und das Ganze veröffentlichen.

Monina: Aber man muss auch davon ausgehen, wenn ich als Person eine Schwachstelle finden

Monina: kann, kann das auch jede andere Person, theoretisch. Klar gibt es jetzt Leute,

Monina: die das System besser verstehen und Leute, die es schlechter verstehen.

Monina: Aber ich würde prinzipiell davon ausgehen, dass wenn eine Schwachstelle gefunden

Monina: wird, auch schon andere potenzielle Angreifer auf diese Schwachstelle drauf Zugriff haben.

Monina: Das heißt, jeden Moment, den ich diese Schwachstelle nicht der Öffentlichkeit

Monina: bekannt gebe, ist ein Moment, in dem vielleicht jemand anders sie bereits ausnutzt,

Monina: aber niemand davon weiß.

Monina: Und das ist fast noch gefährlicher, als zu wissen, dass es eine Schwachstelle

Monina: gibt und man vorsichtig sein muss, aber der Patch noch nicht draußen ist.

Monina: Insofern, was ist verantwortungsvoller oder verantwortungsloser,

Monina: wenn ich die Schwachstelle monatelang für mich behalte, in dem Wissen,

Monina: dass sie vielleicht schon ausgenutzt wird, weil das Unternehmen,

Monina: dem ich die melde, nicht reagiert, aus welchen Gründen auch immer,

Monina: oder nicht reagieren kann.

Monina: Ob ich das jetzt falsch abgegeben habe bei dem Unternehmen oder was auch immer, sei dahingestellt.

Monina: Oder ist es verantwortungsvoll, dann zu sagen, das ist so wichtig,

Monina: weil das relativ tiefgreifend ein System eingreift, dass ich das lieber der Community sofort gebe,

Monina: damit das Unternehmen auch gezwungen ist, möglichst bald ein Patch nachzuliefern,

Monina: damit Analyse-Techniken für Antivirenhersteller und dergleichen rausgebracht

Monina: werden, die eventuell erkennen können, wenn jemand versucht,

Monina: diesen Angriff auszunutzen.

Monina: Also ich finde, es ist tatsächlich an dem Punkt schwierig, das abzuwägen.

Monina: Was ist hier das bessere Vorgehen? Gerade wenn ein Unternehmen nicht kooperativ

Monina: ist und dann über Monate hinweg das nicht veröffentlicht wird.

Volker: Ja, also ich sehe hier tatsächlich beide Seiten. Und an der Stelle kann sein,

Volker: dass ich meine Meinung in drei Minuten wieder ändere. Aber an der Stelle würde

Volker: ich jetzt im Moment sagen, bin ich so ein bisschen gegen den Sicherheitsforscher.

Volker: Ich bin jetzt nicht für Microsoft, um Gottes Willen, sondern ich bin gegen das

Volker: Vorgehen des Sicherheitsforschers, denn,

Volker: er ist so tief in die Basis des Betriebssystems eingestiegen,

Volker: dass er benutzt ja nur legitime Vorgänge. Und,

Volker: das kann Microsoft ja nicht gerade mal so, möglicherweise gar nicht ändern.

Volker: Man kann darum einen Zaun bauen, dass man ein bisschen höher springen muss,

Volker: aber diesen Prozess kann man einfach nicht wegnehmen, weil dann das,

Volker: so 20 Jahre oder 30 Jahre gehegte und geliebte Betriebssystem plötzlich so komplett

Volker: angegriffen ist, dass man es neu schreiben müsste. Das ist ja undenkbar.

Monina: Was man am besten ja an der Schwachstelle sieht, die 2020 eigentlich schon rausgekommen

Monina: ist und immer noch existiert scheinbar.

Volker: Ja, genau. Also nur in der Variante. Also sie wurde gepatcht und dann einfach,

Volker: wir drehen mal zwei Zeilen Code um und schon geht's wieder.

Volker: Ja, das ist dann aber auch einem Sicherheitsforscher bewusst oder einer Forscherin.

Volker: Und ich finde das in der Art und Weise, das ist ja jetzt nicht irgendwie so

Volker: ein Buffer-Overflow oder irgend so ein Kram, der irgendwo gelaufen ist,

Volker: sondern das sind ja Maßnahmen und Methoden, die da ergriffen wurden.

Volker: Und die, ich würde jetzt erst mal sagen, genau eine Person auf der Welt kann,

Volker: vielleicht auch 10, vielleicht auch 50, aber diese eine Person auf der Welt,

Volker: die weiß das auch, dass das nicht jeder hinkriegt und dann darf sie gefälligst

Volker: auch mal die Klappe halten.

Monina: Aber weiß sie das? Ich finde das mir ein bisschen schwierig.

Monina: Einerseits ist es genau wie in einem Streit zwischen Leuten,

Monina: die man nicht gut kennt, einzugreifen.

Monina: Man weiß nicht, was hinter welcher Seite noch steht, was gesagt wurde,

Monina: was tatsächlich noch irgendwie ausgetauscht wurde an Kommunikation.

Monina: Wir haben ein Bild von beiden Seiten, die sich gegenseitig ordentlich angegangen sind.

Monina: Und es ist verständlich, dass hier beide Seiten relativ verschnupft reagieren.

Monina: Was die Wahrheit dahinter ist, werden wir wahrscheinlich so auch nie komplett

Monina: rausfinden, ob es jetzt wirklich gerechtfertigt war, weil selbst nach mehrfachen

Monina: Versuchen diese Schwachstellen nicht offengelegt wurden.

Monina: Das lässt sich schwer sagen, aber ich würde auch prinzipiell davon ausgehen,

Monina: dass dieser Sicherheitsforscher vermutlich auch der Meinung ist,

Monina: dass wenn er das finden kann, dass auch andere können.

Monina: Und dann steht ja, wie gesagt, im Raum, wenn das andere finden können,

Monina: es gibt durchaus auch Programme, wo Leute für viel Geld solche Schwachstellen

Monina: entweder an hohe Bundesbehörden, angeblich zumindest, verkaufen können oder

Monina: zumindest an irgendwelche,

Monina: Angreifer von irgendwelchen großen Organisationen, von irgendwelchen großen

Monina: Angreiferorganisationen.

Volker: Da kriegen die wahrscheinlich viel Geld. Vielleicht sind die da sogar schon

Volker: hingekauft von anderen und jetzt ärgern sich diese Geheimdienste,

Volker: dass sie für jede Schwachstelle 10 Millionen Dollar bezahlt haben.

Volker: Und die werden jetzt von Microsoft geschlossen. Also überleg mal den volkswirtschaftlichen

Volker: Schaden, den der Hacker damit angerichtet hat.

Monina: Ja genau, aber wenn jetzt der Hacker, das können wir ja schwer sagen.

Volker: Wie die Person denkt.

Monina: Aber wenn die Person davon ausgeht, dass das der Fall ist, dann ist das Verhalten

Monina: wiederum, oder dann wäre das Verhalten in dem Fall wieder eher verantwortungsvoll.

Monina: Und das ist, finde ich, super schwierig, deswegen von unserem Standpunkt aus

Monina: zu argumentieren, was die Beweggründe dahinter waren für die Veröffentlichung.

Monina: War das reine Rache gegenüber Microsoft oder war das wirklich der Wunsch,

Monina: dass Systeme sicher werden? Es gibt ja viele Leute in der Sicherheitscommunity,

Monina: die tatsächlich noch sehr viele Hoffnungen hegen, dass es irgendwann besser

Monina: wird mit der Sicherheit von Produkten und selbst wenn es Windows ist.

Monina: Das war ein vieler Nachsatz. Ich würde der Person unterstellen,

Monina: dass ich vielleicht auch tatsächlich einfach keine schlechten Gründe oder keine

Monina: schlechten Beweggründe für die Gesellschaft in dem Sinne hatte.

Volker: Ja, also wir werden es nur spekulativ beziehungsweise gar nicht auflösen können,

Volker: weil es irgendwie hieß auch,

Volker: dass diese Person auch irgendwie über Microsoft interner verfügt,

Volker: sei es, dass es ein alter Forscher, also ein vorheriger Forscher war oder dass

Volker: die schon miteinander interagiert haben oder,

Volker: ein beauftragter Mitarbeiter oder sonst irgendwas.

Volker: Also ich muss nach wie vor sagen, ich finde irgendwann hat Responsible Disclosure auch ein Ende.

Volker: Wenn, ja, wenn wirklich nicht erwartbar ist, oder andersrum, ich sage es mal so,

Volker: in Deutschland haben wir das BSI, das sich hier anbietet, nachdem du es der

Volker: Firma gemeldet hast, kannst du es auch uns melden.

Volker: Das heißt, es müsste eigentlich staatliche Aufsichtsbehörden geben,

Volker: die diesen Prozess anbieten.

Volker: Richtig gut begutachten und überwachen. Und wenn dann eine Firma nicht reagiert,

Volker: dass diese Sicherheitslücke dann weitergemeldet wird, solange es jetzt nicht

Volker: so ein Ding ist wie Log4J oder sowas,

Volker: die das nachher auch vom Skript-KD ausgenutzt werden kann und sofort 80 Millionen

Volker: Server auf dieser Welt, Remote-Executable, sofort hackbar sind. Okay.

Volker: Wobei selbst da, selbst da muss man sich fragen, Und kann so ein Ding dann nicht

Volker: bei einer staatlichen Aufsichtsbehörde landen?

Volker: Und diese staatliche Aufsichtsbehörde zwingt das Unternehmen dazu,

Volker: Ressourcen bereitzustellen. Und wenn die es nicht machen, dann stellt man Dienstleister

Volker: auf deren Kosten ein, die volle Code an sich kriegen müssen, um dieses Ding zu fixen.

Volker: Also das wäre aus meiner Sicht ein guter Schritt in Richtung Responsible Disclosure.

Monina: Das klingt sehr schön. Ich sehe da ein paar große Schwierigkeiten.

Monina: Das eine ist, wenn jetzt mal jemand mal schnell spontan den Code von Windows

Monina: offenlegt und jemandem sagt, prüft das mal auf Schwachstellen oder auf die Schwachstelle.

Monina: Das ist immer noch massiv komplex.

Volker: Ich meine nicht prüfen, ich meine tatsächlich jetzt schließen.

Volker: Aber ja, du hast recht, es ist massiv komplex, aber die können nicht sagen,

Volker: ich habe keine Ressourcen.

Volker: Die haben dann plötzlich Zwangsressourcen, die ihnen auf eigene Kosten gestellt werden.

Monina: Das Unternehmen, ja, aber die Bundesbehörde beispielsweise, die das prüfen muss,

Monina: wenn du dir jetzt vorstellst, dass das vielleicht viele Sachen innerhalb kurzer

Monina: Zeit sind, gerade jetzt momentan an wird doch der Tatsache, dass wir durch KI

Monina: unterstützt sowohl richtige als auch falsche Schwachstelleninformationen mit einer Flut haben,

Monina: die ja mittlerweile, glaube ich, sogar kleine Maintainer von Open-Source-Projekten

Monina: dazu gebracht hat, zu sagen, wir machen mal eine Pause mit Bug-Bounty-Programm,

Monina: weil wir es nicht mehr schaffen, mit dieser Flut an,

Monina: eingereichten Schwachstellenberichten hinterherzukommen,

Monina: sage ich mal, ist das schwierig.

Monina: Ich glaube, dass es so einfach, so schön, dass es in der Theorie klingt,

Monina: auch nicht machbar wäre oder machbar ist.

Volker: Ja, naja. Du, ich glaube, wir kommen da auch irgendwie nicht zu einer ordentlichen Lösung.

Monina: Es gibt keine.

Volker: Ja, wir haben über Prozesse gerade gesprochen. Wir haben infrage gestellt,

Volker: ob Microsoft richtig gehandelt hat. Wir wissen es alles nicht.

Volker: Und ja, selbst wenn wir über Sanktionen dann reden, zum Beispiel wurde das Konto

Volker: des Forschers jetzt, also nicht mal gesperrt, es wurde eliminiert aus GitHub. Ja, ist cool.

Volker: Einmal veröffentlicht, 50.000 Mal kopiert, teilweise auf persönliche Repositories.

Volker: Das heißt, keine, also auch das war wieder nur eine Verzweiflungstat,

Volker: dass man jetzt sagt, ach, jetzt dämmen wir das Ganze mal ein und als nächstes

Volker: haben wir ja dann auch, dass der Forscher sich jetzt statt Mr.

Volker: Nightmare plötzlich MS Nightmare genannt hat, also einen neuen Account angelegt.

Monina: Es ist halt von beiden Seiten ein Feuer ins Öl gießen und kein sinnvoller Problemlösungsprozess

Monina: mehr. Also das sind zwei Seiten, die sich im Streit befinden, der sehr verhärtet ist.

Volker: Bis hin zu, dass Microsoft auf öffentlichen Seiten dann diesen Forscher auch

Volker: noch wieder beschimpft oder bloßstellt.

Volker: Wir haben euch dazu einen Link von der Microsoft-Seite zur Verfügung gestellt,

Volker: in der Hoffnung, dass der noch länger existiert, wo konkret,

Volker: über Disclosure-Programme gesprochen wird mit Bezug auf diesen Forscher,

Volker: dass das ja einfach nicht toll war und nicht toll im Rahmen der gemeinsamen Zusammenarbeit.

Monina: Was wiederum ja auch bei der kompletten Forschungskommunity,

Monina: glaube ich, ziemlich einen Zwiespalt auslöst.

Monina: Es gibt die, die definitiv auf der Seite von Responsible Disclosure sind,

Monina: aber es gibt auch einen Haufen Leute, die sich jetzt natürlich,

Monina: solidarisieren mit dem Sicherheitsforscher oder der Sicherheitsforschenden,

Monina: die diese Schachstellen rausgebracht hat, weil sie sagen, wir machen die Arbeit

Monina: für diese großen Unternehmen, müssen darum betteln, dass unsere Arbeit dann,

Monina: die wir in unserer Freizeit machen, unentgeltlich,

Monina: in irgendeiner Form honoriert wird und vielleicht sogar bezahlt. wird.

Monina: Wir haben die Arbeit ja schon geleistet, aber wenn wir Glück haben,

Monina: wird sie auch bezahlt. Das wäre eigentlich der Job dieser großen Unternehmen.

Monina: Und dann werden wir auch noch dumm angemacht. Das kann es ja wohl nicht sein.

Monina: Also ich verstehe diesen Zwiespalt, den das Ganze erzeugt.

Monina: Bin ich gespannt, wo das noch hinführt.

Volker: Böse Zungen behaupten ja sogar, dass es da so Machtgeflechte geben soll,

Volker: wie das GitHub gar nicht unabhängig von Microsoft gehandelt hat,

Volker: in seiner Aktion den Account zu sperren,

Volker: sondern dass GitHub natürlich eine Microsoft-Tochter ist oder ein Microsoft-Sub-Unternehmen

Volker: und damit auch im Interesse von Microsoft den Account gesperrt hat.

Volker: Also da wird es auch verdammt schwierig, wieder bei diesen üblichen Big Five

Volker: oder lass es Big Ten sein, unabhängige Instanzen zu finden.

Volker: Und deswegen bin ich der Meinung, irgendwie BSI, sicherlich hören uns einige

Volker: Leute zu oder meinetwegen auch vom LSI, dem BSI in Bayern.

Volker: Leute, es macht was, dass dieses Responsible Disclosure vernünftig funktioniert.

Monina: Und respektiert eure Sicherheitsforscher, die euch Sachen melden.

Volker: Ja, weil die Sachen müsst ihr nicht selbst suchen, was ihr eigentlich solltet.

Volker: Das ist viel teurer. Ja, Monina, haben wir noch was?

Monina: Ich glaube, wir können uns in ewigen Diskussionen über dieses Thema verlieren,

Monina: aber ich glaube, es ist einmal alles gesagt, wir haben einen groben Überblick

Monina: über diese Schwachstellen geliefert. Ich bin gespannt, ob noch mehr kommen.

Monina: Die Person scheint ja wirklich, also alleine eine Zero-Day-Schwachstelle zu

Monina: finden, ist eine Leistung und acht, ja, das ist schon Wahnsinn.

Monina: Bin gespannt, was da noch kommt oder wie dieser Streit weitergeht und was dafür

Monina: Auswirkungen haben wird.

Monina: Aber ansonsten ist von meiner Seite hier alles gesagt.

Volker: Gut, dann fasse ich nochmal ganz kurz zusammen, dass wir ganz kurz nochmal die

Volker: Schwachstellen nennen. Also es ging um Blue Hammer, Red Sun und Undefended,

Volker: die direkt auf Microsoft Defender zielen.

Volker: Eine Weiterentwicklung von einer von Blue Hammer ist dann die Sicherheitslücke

Volker: Rogue Planet, also vagabundierender Planet.

Volker: Dann hat Monina noch Yellowkey, GreatXML und, ach Mensch, Monina hilft mir doch

Volker: mit den anderen Sicherheitslücken.

Monina: Mini Plasma und Green Plasma.

Volker: Green Plasma, genau. Ich bin mit Yellowkey und Green Plasma irgendwie durcheinander

Volker: gekommen, die im Wesentlichen so in Richtung Bitlocker und so weiter gehen.

Volker: Ja, Monina, es wäre wieder an dieser Stelle dein Platz für den Abspann.

Monina: Genau, das war die Sicherheitslücke. Heute zum Thema Sicherheitslücken.

Monina: Ihr könnt uns überall dort finden, wo ihr Podcasts hört und auch auf unserer

Monina: Webseite www.sicherheitslücke.fm Den Link zu unserer Webseite und zu weiterführenden

Monina: Inhalten dieser Folge findet ihr in den Shownotes, genau wie die Links zu unseren Social Media Seiten.

Monina: Empfehlt den Podcast gerne weiter und bewertet uns dort, wo ihr uns hört,

Monina: damit auch andere uns leichter finden können.

Monina: Die Sicherheitslücke generell ist ein Podcast der Hamburg Open Online University

Monina: und die Kapitelbilder kommen wie immer von der fantastischen Anne Vogt.

Monina: Und die Produktion übernimmt Christian Friedrich. Vielen Dank und viel Spaß

Monina: beim Schneiden. Wir verabschieden uns und bis zunächst Folge Monina Schwarz.

Volker: Und Volker Skwarek.