In einem Gespräch mit der Website ZDnet erläuterte der Microsoft-Sicherheitsarchitekt Rodney Hackman, dass Malware-Autoren nicht immer ganz clever zu Werke gehen. Denn regelmäßig bejahen sie nach einem Absturz während des Programmierens die Frage, ob die Details zum Crash an Microsoft geschickt werden sollen. Teil des übermittelten Dumps: der gerade in der Entwicklung befindliche Schadcode. Somit servieren die bösartigen Hacker den Quellcode ihrer Malware auf dem Silbertablett.

 

Anhand dieser Informationen können sich die Sicherheitsexperten ein Bild davon machen, womit sich die Angreifer gerade beschäftigen. Weiteren Aufschluss geben die Attacken, die täglich aus dem Untergrund gegen microsoft.com geritten werden. Laut Hackman verzeichnen die Systeme pro Sekunde zwischen 7000 und 9000 Angriffe. Deren Auswertung ergibt, dass die von OWASP < Open Web Application Security Project) erstellte Top-Ten-Liste der häufigsten Schwachstellen in Web-Anwendungen vollauf praxisrelevant ist. Diese Liste des Grauens führt die Fehler auf, die von Programmierern beim Entwickeln von Web-Applikationen gemacht werden und die Anwendung so angreifbar wird. Zu diesen Fehlern gehören seit Jahren bekannte Probleme wie Anfälligkeiten gegen SQL-Injections und Cross-Site-Scripting.

 

Laut Hackman lassen verdeutlicht die Top-Ten-Liste zwei Dinge: Zum einen sind die Angreifer wenig innovativ, sondern attackieren weiterhin hauptsächlich Lücken, die sie schon seit Jahren kennen und verstehen. Zum anderen fehlt den Entwicklern das notwendige Wissen um diese Lücken.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.