Roter Oktober ist nicht mehr nur ein U-Boot im gleichnamigen Film und Buch von Tom Clancy. Die Experten von Kaspersky haben den Namen auch einem kürzlich gefundenen Botnet gegeben. Dieses war vor allem in Osteuropa, früheren Staaten der Sowjetunion sowie Zentralasien aktiv. Ich will mich hier im Blog aber nicht mit dem Botnet an sich beschäftigen (das haben, mehr oder weniger reißerisch, beispielsweise Heise, die Süddeutsche Zeitung oder Spiegel Online getan), sondern Gegenmaßnahmen und einen allgemeinen Schutz vor solchen Attacken aufzeigen.

Laut der Analyse von Kaspersky nutzt das Botnet für die Infektion manipulierte Word- und Excel-Dateien. Diese attackieren das System über drei bekannte Schwachstellen: CVE-2009-3129, CVE-2010-3333 und CVE-2012-0158. Die Bezeichnungen zeigen auf den ersten Blick, dass es sich inzwischen nicht mehr um Zero-Day-Schwachstellen handelt, sondern dass sie in den Jahren 2009, 2010 und 2012 dokumentiert wurden. Die Lücken sind auch keine ungepatchten Altlasten, im Gegenteil. Microsoft hat bereits vor Jahren die entsprechenden Updates veröffentlicht:

  • CVE-2009-3129, die Schwachstelle in Excel, wurde mit dem Patch MS09-067 am 10. November 2009 adressiert. Microsoft hat die Wichtigkeit dieser Lücke damals als „Hoch“ eingestuft.
  • CVE-2010-3333 beschreibt eine Schwachstelle in Word, durch deren Missbrauch Angreifer im schlimmsten Fall beliebigen Code aus der Ferne ausführen können. Seit 09. November 2010 steht mit dem Sicherheits-Bulletin MS10-087 Abhilfe bereit, das Bulletin an sich wurde zuletzt am 12. April 2011 aktualisiert. Auch hier hatten wir das Update mit einer hohen Priorität versehen.
  • Die jüngste verwendete Sicherheitslücke ist CVE-2012-0158, eine bekannte Schwachstelle in Word, auch hier ist das Ausführen von Code aus der Ferne (Remote Code Execution) möglich. Eine durchaus kritische Sicherheitslücke, die wir im Security-Bulletin MS12-027 am 10. April 2012  (aktualisiert am 26. April 2012) mit einem Patch geschlossen haben und entsprechend einstuften.

Hätten die Attacken also verhindert werden können? Dem aktuellen Stand der Kaspersky-Ermittlungen zufolge mit hoher Wahrscheinlichkeit.

Laut dem Blogeintrag passierten die ersten Attacken durch Missbrauch des Excel-Bugs am 19.05.2010 –  also fast ein halbes Jahr nachdem Microsoft einen passenden Patch bereit stellte. Die Attacken über Word begannen im Sommer 2012. Auch hier gab es seit mehreren Monaten Updates für beide Sicherheitslücken.

Wir können natürlich nur darüber spekulieren, warum die Updates auf den vom Roten Oktober infizierten Rechnern unterblieben sind beziehungsweise zu spät installiert wurden. Fest steht jedoch, dass beispielsweise durch das Aktivieren der automatischen Update-Funktion von Windows Update (das auf allen Versionen von Windows aktiv ist) oder den Einsatz diverser anderer Software-Updatetools, ein erheblich besserer Schutz gewährleistet gewesen wäre.

„Roter Oktober“ zeigt, wie wichtig eine solide Update-Strategie für Unternehmen und Einzelnutzer ist. Sie ist die Basis für den Schutz gegen (unbekannte) Schwachstellen. Gleichzeitig ist mir natürlich bewusst, dass der Umgang mit den zahlreichen Updates - nicht nur Microsoft liefert ja Bulletins aus, sondern auch alle anderen Softwarehersteller - mitunter sehr zeit- und ressourcenfressend ist. Dennoch sollten insbesondere die von uns als "kritisch" gekennzeichneten Updates umgehend getestet und wennmöglich auch installiert werden.

Unternehmen finden übrigens relevante Informationen rund um das Verteilen von Updates in unserer Technet-Sektion zum Windows Server Update Service. Allen Endnutzern raten wir dringend, die automatisierte Update-Prozedur zu aktivieren und nach der Installation den Rechner – falls notwendig – schnellstmöglich neu zu starten.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.