Exploit hinter WannaCry tatsächlich ehemaliges, jahrelanges NSA-Werkzeug

Die Washington Post berichtet (lokale Kopie), dass der Exploit, auf dem die Ransomware WannaCry basiert, tatsächlich aus dem Fundus der NSA stammt und durch die Veröffentlichungen der  ShadowBroker geleakt worden ist. Die Zeitung beruft sich auf Aussagen von NSA-Mitarbeitern („NSA officials“), denen über viele Jahre das als EternalBlue benannte Werkzeug sowie die Sicherheitslücke in den Windows-Systemen bekannt gewesen ist und die ihrerseits diese Schwäche aktiv verwendet haben:

Some officials even discussed whether the flaw was so dangerous they should reveal it to Microsoft, the company whose software the government was exploiting, according to former NSA employees who spoke on the condition of anonymity given the sensitivity of the issue (..) But for more than five years, the NSA kept using it (..) “It was like fishing with dynamite”

Tatsächlich war der NSA bewusst welche Tragweite im Sinne der potentiell gefährdeten Systemen und der Schwere der Sicherheitslücke die ausgenutzte Sicherheitslücke von EternalBlue hatte. Aus diesem Grund – so der Bericht – habe man sich entschlossen das Unternehmen Microsoft über die Sicherheitslpcke zu informieren, nachdem der Leak der Malware durch die ShadowBroker auf Seiten der NSA bemerkt worden ist. Microsoft selbst hatte aufgrund dieser schwerwiegenden Sicherheitslücke den monatlichen Patchday im Februar 2017 um einige Tage verschoben um auch eine Sicherheitsaktualisierung für EternalBlue in die Patches einzuschließen. Dass WannaCry trotzdem eine solche Auswirkung entfalten konnte lag unter anderem, dass Patches nur für die offiziell noch unterstützten Windows-Version bereit gestellt werden, dem zum Trotz jedoch viele alte Systeme wie Windows XP weiterhin eingesetzt werden (Schätzungen gehen von 5% der weltweiten Desktop-Systeme aus, die noch mit Windows XP betrieben werden / lokale Kopie).

Die Gefahrlichkeit der Malware EternalBlue und der damit verbundenen notwendigen Geheimhaltung der verwendeten Sicherheitslücke in Windows-Systemen war den, im Bericht zitierten Mitarbeitern der NSA auch innerhalb der Organisation bekannt und umstritten:

“If one of our targets discovered we were using this particular exploit and turned it against the United States, the entire Department of Defense would be vulnerable,” the second employee said. “You just have to have a foothold inside the network and you can compromise everything.”

Diese inoffizielle Bestätigung unterstreicht damit deutlich die wichtige Kritik an der Sammlung von Sicherheitslücken durch Geheimdienste, wie sie zuletzt auch von Microsoft selbst in aller Deutlichkeit geäußert worden ist: „They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. “ (lokale Kopie)