Microsoft erfuhr am 15.03. von frei zugänglichem Proof-of-Concept (PoC)-Programmcode, der die durch MS12-020 behobene Schwachstelle missbraucht und zu einem Denial of Service des betroffenen PCs oder Servers führt. Derzeit ist uns jedoch kein Angriff bekannt, der die aufgrund der Lücke prinzipiell mögliche Ausführung von beliebigem Code aus der Ferne (Remote Code Execution) erlaubt. Die Lücke wurde durch ein Sicherheitsbulletin am vergangenen Dienstag (13.03.) geschlossen. Wer das Update also bereits installiert hat, ist gegen die aus dem PoC-Code resultierenden Angriffen geschützt.

Nicht zuletzt aufgrund des momentan kursierenden Angriffscodes raten wir allen Kunden dringend dazu, das Sicherheitsupdate alsbald zu installieren. Außerdem steht noch ein Fix It bereit, das das Risiko in den Fällen deutlich mindert, in denen Kunden das eigentliche Sicherheitsbulletin noch testen wollen.

Die Details des veröffentlichten PoC-Codes scheinen mit den Einzelheiten übereinzustimmen, die Microsoft seinen Partnern im Rahmen des Microsoft Active Protections Program (MAPP) zukommen lässt. Derzeit untersucht Microsoft die Umstände, unter denen diese Details bekannt nach draußen drangen und wird im Anschluss alles Notwendige unternehmen, um Kunden zu schützen und um sicherzustellen, dass die von uns verteilten vertraulichen Informationen nur im Rahmen der Programmrichtlinien behandelt werden.

Durch MAPP teilt Microsoft Informationen über die durch MS12-020 geschlossene Schwachstelle unter Beachtung einer strikten Geheimhaltungsvereinbarung mit den MAPP-Partnern, bevor das Sicherheitsbulletin veröffentlicht wurde. Hersteller von Sicherheitssoftware, die Teil von MAPP sind, verwenden diese Informationen, um ihre Produkte frühzeitig gegen Angriffe zu wappnen, die die entdeckten Schwachstellen missbrauchen. Nutzer dieser Produkte haben so mehr Zeit, die Installation der Bulletins optimal zu planen.