Ungefixter Word-Bug 27.04.2017, 14:58 Uhr

Hacker erbeuten Millionen von Banking-Daten

Eine Sicherheitslücke in Word bleibt monatelang ungefixt und verursacht mutmasslich einen Schaden in Millionenhöhe. Der Bug ermöglichte es Kriminellen, bösartige Links über Word-Dokumente zu verteilen und so die betroffenen PCs zu übernehmen.
Eine Sicherheitslücke in Word wurde monatelang nicht gefixt und verursachte vermutlich einen Schaden in Millionenhöhe, berichtet die Nachrichtenagentur Reuters. Der Fehler ermöglichte es Hackern die Kontrolle über einen PC zu erlangen, Bankdaten und persönliche Daten zu erschnüffeln und so Schaden anzurichten.
Für gewöhnlich werden Fehler schnellstmöglich behoben. Im Idealfall noch bevor Kriminelle Kenntnis davon nehmen. Dieses Mal hat Microsoft allerdings Monate gebraucht, um die Lücke zu schliessen.
Entdeckt wurde der Fehler im Juli 2016 von Ryan Hanson, Berater von Boutique Security Optiv Inc. Er fand einen Fehler, der es möglich machte, bösartige Links über Word-Dokumente einzuschleusen. Wurde der Link angeklickt, konnten Hacker die vollständige Kontrolle über den betroffenen PC übernehmen.
Ehe Hanson Microsoft jedoch von seiner Entdeckung unterrichtete, experimentierte er weiter mit dem Bug und kombinierte ihn mit anderen Mängeln. Er wollte herausfinden, wie gefährlich diese Sicherheitslücke tatsächlich war. Erst im Oktober 2016 informierte er schliesslich die Redmonder.
Eine Lösung war schnell gefunden: Durch eine simple Einstellung in Word wäre eine Behebung des Problems bereits sechs Monaten früher möglich gewesen. Um jedoch keine Hacker auf den Plan zu rufen und noch nicht modifizierte Geräte zu schützen, entschied Microsoft sich dazu, Stillschweigen zu bewahren. Stattdessen versuchten sie eine andere Lösung zu finden. "Wir haben untersucht, ob es vielleicht weitere, ähnliche Probleme gibt." teilte ein Sprecher von Microsoft mit.

Erste Angriffe fanden im Januar 2017 statt

Wie Hacker trotzdem von der Sicherheitslücke erfahren haben, ist nicht ganz klar. Dennoch fanden die ersten Attacken bereits im Januar 2017statt. Zunächst wurden nur wenige Ziele angegriffen. Im März 2017 jedoch fanden Sicherheitsforscher von FireEye heraus, dass Finanzsystem-Hacks, bekannt als Latebot, über das selbe Leck verteilt wurden.
Als der Sicherheitsspezialist McAfee schliesslich Anfang April von dem Bug erfuhr, nahm die Katastrophe ihren Lauf. Zwar informierte der Security-Hersteller Microsoft ebenfalls über seinen Fund, zugleich veröffentlichte er aber auch einen entsprechenden Blogbeitrag. Damit informierte McAfee wirklich jeden Hacker darüber, wie PCs derzeit am besten angegriffen werden könnten.
Erst eine Woche später veröffentlichte Microsoft endlich den entsprechenden Patch. Genug Zeit für die Kriminellen, etwa den Driedex Banking-Trojaner auf vielen Millionen Rechnern in Australien zu verteilen.
Um den Fehler zu beheben, hatte Microsoft also über sechs Monate gebraucht. Dies sei nicht gut, allerdings auch nicht völlig ungewöhnlich, sagte Marten Mickos, der Chef der Bug-Bounty-Plattform HackerOne. Dennoch würden die meisten Bugs binnen weniger Wochen beseitigt.
Ungeklärt bleibt nun die Frage, wie viele Leute tatsächlich Opfer geworden sind und wie hoch der Schaden ausfällt.



Das könnte Sie auch interessieren