Am Puls von Microsoft

Nicht nur Quellcode: Hacker könnten auch Verschlüsselungs-Keys von Microsoft erbeutet haben

Nicht nur Quellcode: Hacker könnten auch Verschlüsselungs-Keys von Microsoft erbeutet haben

Die Hackergruppe Lapsus$, die zuvor bereits Samsung, Nvidia und andere Firmen erfolgreich attackierte, hat am Wochenende behauptet, sich Zugang zum Quellcode diverser Microsoft-Produkte verschafft zu haben. In der Hauptsache ging es dabei um Cortana und Bing. Das 37 GB große Paket wird über Filesharing-Netzwerke verteilt, und nachdem erste Experten die Daten analysieren, deutet sich durchaus größeres Unheil an.

Das Magazin Bleepingcomputer hatte zuerst darüber berichtet und auch eine Stellungnahme von Microsoft zitiert, wonach man in Redmond den Vorfall untersuche, weitere Informationen gibt es dazu bislang nicht.

Einer der Sicherheitsexperten, die sich die Sache näher angeschaut haben, ist Soufiane Tahiri. Er schreibt heute auf Twitter:

„Wir sprechen über weit mehr als über Cortana und Bing Maps. Soweit ich das sagen kann, ist der Leak zu 100% echt und enthält jede Menge Daten, inklusive E-Mails, öffentliche und private Schlüssel, Zertifikate zum Signieren von Code und sehr viel Quellcode.“

(Ich gehe davon aus, dass er „genuine“ (echt) statt „genius“ (genial) schreiben wollte, obwohl leider beides stimmt, wenn diese Daten echt sind.)

Geleakter Quellcode ist für Unternehmen in erster Linie ärgerlich, weil er unter Umständen Geschäftsgeheimnisse offenlegt und Wettbewerber sich etwas abschauen können. Selbstverständlich kann man im Quellcode auch sehr viel besser nach Sicherheitslücken suchen, dennoch ist ein Quellcode-Leak zunächst einmal kein Sicherheits-GAU.

Anders sieht es aus, wenn Kriminelle in den Besitz von Schlüsseln und Zertifikaten gelangen. Nach dem Nvidia-Hack ist nach kurzer Zeit Malware aufgetaucht, die offiziell von Nvidia signiert war, was eine Erkennung durch Antivirus-Programme erheblich erschwert. Was passieren kann, wenn Malware mit offizieller Microsoft-Signatur in Umlauf gerät, mag man sich nicht ausmalen. Noch ist aber ungewiss, ob dieses Risiko tatsächlich besteht.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige