Microsofts Fehlerreports übertragen unverschlüsselt und verraten so Softwarelecks

BetriebssystemSicherheitSicherheitsmanagementWorkspace
windows-error-report

Windows und andere Software übertragen Fehlermeldungen so, dass Cyberkriminelle sie auffangen könnten und dadurch Einiges über mögliche nicht gefixte Bugs herausfänden. Das Windows Error Reporting, auch Dr. Watson genannt, meldet selbst so harmlose Vorgänge wie etwa das Anschließen einer Maus nach Redmond – im Klartext.

Ein Security-Experte von Websense warnt vor dem WER (Windows Error Reporting).

Dass es sensible Informationen über einen PC unverschlüsselt an Microsoft sendet, sei für Hacker und Kriminelle ein gefundenes Fressen. Denn WER alias Dr. Watson erhebt eine ganze Menge von hochsensiblen Daten über einen PC und sendet diese – etwa im Fall eines Absturzes – unverschlüsselt an Microsoft. Darin sind zum Beispiel Informationen über das Betriebssystem, Version, Patch-Status und auch über angeschlossene Geräte enthalten.

Windows-Fehlermeldg-Websense
Microsoft Error Reporting (WER) nutzt keine Verschlüsselung, um Informationen von Systemveränderungen oder Fehlern von einem PC an einen Microsoft-Server zu übertragen. Ein schwerwiegendes Sicherheitsleck, so der IT-Sicherheitsspezialist Websense.
Der Sicherheitsforscher Alex Watson, Director Research bei dem IT-Sicherheitsanbieter Websense, warnt jetzt davor, dass genau diese Daten für einen Hacker wertvolle Informationen liefern können. Aber auch staatliche Überwacher könnten von diesen Details profitieren.

Microsoft hat diese Funktion mit Windows XP eingeführt. Seither nutzen sämtliche Versionen des Betriebssystems bis hinauf zu Windows 8, das System. In den Datenschutzerklärungen hält Microsoft fest, dass nicht in jedem Fall der Nutzer über eine Mitteilung des Systems an einen Microsoft-Server informiert wird.

Und so, erklärt Watson, sei es der Fall, dass jedes Mal, wenn ein USB-Gerät an einen Windows-Rechner angeschlossen wird, eine automatische Meldung an Microsoft ergeht – mit oder ohne Interaktion des Nutzers.

Zudem sendet Microsoft diese Informationen über eine herkömmliche http-Verbindung. Das bedeutet, dass auch ohne tiefes technisches Wissen, etwa über eine man-in-the-middle-Attacke, diese Informationen ausgelesen werden können. Daher rät der Sicherheitsforscher, dass Unternehmen hier auch den Empfehlungen Microsofts folgen sollten, sämtliche Meldungen an einen internen Server zu senden und diese über Group Policy zu verwalten. Ist das aber nicht der Fall, sei es für Spione wie für Hacker ein Leichtes, an diese wertvollen Informationen zu kommen.

In einem vorläufigen Bericht zeigt Websense, welche Informationen an Microsoft übermittelt werden, wenn man zum Beispiel eine kabellose USB-Maus an einen Rechner anschließt:

• Date
• USB Device Manufacturer
• USB Device Identifier
• USB Device Revision
• Host computer – default language
• Host computer – Operating system, service pack and update version
• Host computer – Manufacturer, model and name
• Host computer – Bios version and unique machine identifier

Diese Informationen könnten einem Hacker zeigen, welche Sicherheitslecks in einem System vorhanden sind.

Wie Watson gegenüber US-Medien erklärt, könne Microsoft in einem Fehlerfall auch weitere Informationen über einen Windows-PC abfragen. Die Übermittlung dieser Informationen allerdings sendet Microsoft dann über HTTPS.

Outbound-proxy-Fehlermeldungen
Hier eine Fehlermeldung bei einem Absturz. Um diese Meldung an Microsoft weiterzuleiten, ist die Zustimmung des Nutzers erforderlich. Auch diese Übertragung erfolgt unverschlüsselt über HTTP, was Hackern den Zugriff auf diese wertvollen Informationen ermöglicht. (Bild: Websense)

Doch natürlich haben diese Informationen auch Vorteile. Der Hersteller kann so verlässlichere Patches für Fehler herstellen. Und die Informationen aus Dr. Watson könnten auch den IT-Abteilungen helfen. Denn aus diesen ersten Informationen könnte sich zum Beispiel ablesen lassen, ob in einem Netzwerk eine Malware installiert ist.

Dennoch betont der Sicherheitforscher in einem Blog, dass die Tatsache, dass die initialen Meldungen unverschlüsselt übertragen werden, ein großes Sicherheitsleck bedeuten. Schließlich würden rund 80 Prozent aller mit dem Internet verbundenen Rechner weltweit über diese Funktion verfügen. Und damit sind wohl mehr als eine Milliarde Rechner weltweit von diesem “Leck” betroffen. Die aktuelle Veröffentlichung sei lediglich ein Vorbericht. Für die RSA-Sicherheitskonferenz am 24. Februar hat Watson weitere Details angekündigt.

[mit Material von Martin Schindler, silicon.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen