Kritik an Microsoft

Word-Hintertür war monatelang sperrangelweit offen

(Bild: thinkstockphotos.de)

Weil es über ein halbes Jahr gedauert hat, bis Microsoft eine Lücke in der Textverarbeitung Word geschlossen hat, über die Hacker in die PCs ihrer Opfer eindringen konnten, üben IT-Sicherheitsforscher nun Kritik am Redmonder Softwareriesen. Der dreht den Spieß allerdings um und kritisiert seinerseits, dass diese die Existenz der Lücke zu früh bekannt gemacht hätten.

Sicherheitslücken in millionenfach genutzter Software sind immer eine lästige Angelegenheit für den Hersteller. Es gilt, sie so schnell wie möglich zu schließen, ohne die Software mit überhasteten Updates zu beeinträchtigen. Damit das gelingt, treten Sicherheitsforscher in der Regel an den Hersteller heran, bevor sie eine neu entdeckte Lücke veröffentlichen, damit dieser ein Update erarbeiten kann.

(Bild: AP)

Erste Hinweise kamen bereits Mitte 2016
Genau das hat der Sicherheitsforscher Ryan Hanson laut BBC im Juli 2016 getan, als er eine gefährliche Lücke in Microsoft Word entdeckte. Danach ließ sich Microsoft allerdings noch über ein halbes Jahr Zeit, bis die Lücke tatsächlich geschlossen wurde. Erst, als im März weitere IT-Sicherheitsfirmen - McAfee und Fireeye - darauf aufmerksam machten, wurde ein Update veröffentlicht.

Zu dieser Zeit wurde sie allerdings bereits ausgenutzt. Dem Bericht zufolge wurde über die Word-Lücke ein Banking-Trojaner namens "Dridex" verbreitet, in Israel wurden überdies im großen Stil E-Mail-Konten an der Ben-Gurion-Universität mithilfe der Lücke gehackt. In IT-Sicherheitskreisen kreidet man nun an, dass diese Attacken vermeidbar gewesen wären, hätte Microsoft früher gehandelt.

(Bild: AP)

Hat McAfee zu früh über Lücke berichtet?
Beim Redmonder Softwarekonzern sieht man wiederum die Sicherheitsbranche in der Verantwortung. Vor allem McAfee hat man dabei im Visier: Das Unternehmen habe zwei Tage vor Veröffentlichung eines Updates über die Lücke berichtet und einige Hacker damit womöglich erst darauf aufmerksam gemacht und ihnen entscheidende Hinweise geliefert, wie sie die Word-Lücke ausnutzen können.

Ein Microsoft-Sprecher: "Bevor sie öffentlich gemacht wurde, haben unsere Ingenieure nur eine kleine Zahl von Versuchen beobachtet, die Lücke durch gezielten Spam auszunutzen, der Nutzer zum Öffnen eines schädlichen Dokuments bringen sollte." Im April breiteten sich die Angriffe dann aber aus, der kurz zuvor veröffentlichte Patch wurde umso notwendiger. Hätte man ihn früher veröffentlicht, hätte es weniger Opfer gegeben, glauben Sicherheitsforscher.