Digital Life
27.04.2017

Schwere Sicherheitslücke in Word monatelang offen

Weil Microsoft beim Stopfen einer Sicherheitslücke ein halbes Jahr trödelte, konnten Angreifer ungehindert User ausspionieren und Millionen Bankkonten ausräumen.

Microsoft sorgt derzeit in der Sicherheitsbranche für Kopfschütteln. Stein des Anstoßes ist eine schwerwiegende Lücke in Word, die mit einem Software-Update am 11. April behoben wurde. So weit, so schlecht. Die Schwachstelle ist nämlich bereits seit neun Monaten bekannt, Microsoft soll zumindest vor sechs Monaten von einem Sicherheitsforscher der Firma Optiv darüber in Kenntnis gesetzt worden sein, wie Reuters berichtet.

Monatelang recherchiert

Dieser hatte herausgefunden, dass ein Prozess, der Dokumente in Word-Formate umwandelt anfällig für Manipulationen war. Über die Schwachstelle konnten Kriminelle Schadsoftware - etwa über einen im Dokument inkludierten Link - auf dem jeweiligen Computer installieren und so die User ausspionieren oder auch das Online-Banking torpedieren. Anstatt die Lücke mit einem Update zu beheben, entschied sich Microsoft, weitere Nachforschungen zum Problem anzustellen.

Man habe auch andere Szenarien untersucht, die im Zusammenhang mit der Lücke ausgenutzt werden könnten und wollte einen Patch liefern, der umfassender wirkt und auch andere Probleme behebt, verteidigt ein Microsoft-Sprecher die Vorgehensweise. Dummerweise dürften Kriminelle in den vergangenen Wochen und Monaten über die Schwachstelle erfahren haben - diversen Sicherheitsfirmen zufolge wurde diese für das Ausspionieren von Personen - offenbar sogar militärischen Ranges - in der Ukraine verwendet.

McAfee bricht Regeln

Am 6. April bekam die unerfreuliche Geschichte eine weitere dramatische Wende. Die Sicherheitsfirma McAfee wurde auf Angriffe über die Lücke aufmerksam und veröffentlichte einen Bericht über die Schwachstelle, unmittelbar nachdem sie Microsoft kontaktiert haben. Normalerweise geben Security-Firmen Software- und Hardware-Herstellern eine Vorlaufzeit, bevor sie derartige Sicherheitsprobleme öffentlich machen. In diesem Fall hielt sich McAfee - aus welchen Gründen auch immer - nicht daran.

Innerhalb weniger Tage wurden Malware-Tools, die extra für die Lücke geschrieben wurden, angeboten. Die Folge waren millionenfache Attacken auf Online-Banking-Kunden in Australien und anderen Ländern weltweit. Nach einer riesigen Angriffswelle am 10. April lieferte Microsoft schließlich einen Tag später - nach sechs Monaten - einen Patch nach. Da viele User beim Updaten schleißig sind, dürfte die Lücke auch in den nächsten Wochen und Monaten noch für Angriffe ausgenutzt werden.