(Bild: dpa, Andrew Gombert)
Nicht nur Geheimdienste und andere Spione zahlen Top-Prämien für ausnutzbare Sicherheitslücken. Auch Firmen wie Microsoft lassen sich solche Informationen einiges kosten. 100.000 US$ bekam ein Deutscher gerade für einen voll funktionsfähigen IE-Exploit.
Früher durften Sicherheitsforscher froh sein, wenn ihnen die über Sicherheitsprobleme informierten Firmen nicht ihre Anwälte auf den Hals hetzten. Heute betreibt auch beispielsweise Microsoft unterschiedliche Bug-Bounty-Programme, bei denen Sicherheitsforscher gefundene Sicherheitsprobleme oder Techniken zu deren Ausnutzung melden und dafür Geld erhalten können. Im Mitigation Bypass Bounty Programm geht es um das Aushebeln von Sicherheitsmechanismen, welche in der jeweils aktuellen Version von Windows zu finden sind. Für akzeptierte Einreichungen zahlt Microsoft dann bis zu 100.000 US-Dollar.
Dem Mitarbeiter Moritz Jodeit von der deutschen Sicherheitsfirma Blue Frost Security ist jetzt genau dies gelungen ? und Microsoft zahlt den Höchstbetrag, wie Jason Shirk vom Microsoft Security Response Center auf der Sicherheitskonferenz CanSecWest in Vancouver just verkündete. Es ist erst das vierte Mal, dass Microsoft den vollen Betrag auszahlt.
Das Ziel: Windows, IE und EMET
Moritz Jodeit entwickelte dafür einen funktionstüchtigen Exploit für die 64-Bit Variante des Internet Explorers 11 unter Windows 10, welcher neben einem Ausbruch aus der „Enhanced Protected Mode“-Sandbox (EPM) auch einen Weg enthielt, die aktuelle Version des Enhanced Mitigation Experience Toolkit (EMET) vollständig zu umgehen. Als Teil dieser Arbeit überwand er diverse Sicherheitsmechanismen, welche die Ausnutzung von Schwachstellen eigentlich erschweren sollten.
Auf der Konferenz sprach heise Security mit dem Sicherheitsforscher. Ungefähr 12 Wochen Arbeitszeit seien in die Suche nach Fehlern und deren Ausnutzung geflossen. Die Meldung und Analyse mit Microsoft sei dann jedoch mittels weniger kurzer E-Mails erledigt gewesen. Sobald Microsoft Sicherheits-Updates bereit gestellt hat, will Blue Frost Security Details über die gefundenen Sicherheitsprobleme veröffentlichen. Da eines der Sicherheitsprobleme jedoch architektureller Natur sein soll, könne das mehrere Monate dauern, erklärte Jodeit. (ju)