Categories: Sicherheit

Sicherheitsforscher kritisieren Microsofts Vorgehen gegen Botnetz Citadel

Mehrere Sicherheitsforscher haben sich über Microsofts stürmisches Vorgehen gegen das Botnetz Citadel beschwert. Der Softwarekonzern hatte zusammen mit der US-Bundespolizei Botnetz-Kommandoserver mit über 4000 Domains abschalten lassen. Auf diesen Maschinen liefen jedoch auch geschätzte 1000 Domains, die andere Sicherheitsteams längst auf eigene, saubere Server umleiteten.

Betroffen waren vor allem Mitarbeiter des Schweizer Teams abuse.ch, die sich gegenüber der Non-Profit-Organisation Shadowserver beschwerten, mehr als 300 sogenannte DNS-Sinkholes verloren zu haben. Ähnlich sei es im vergangenen Jahr gewesen, als Microsoft unter großem öffentlichen Trara gegen das Botnetz Zeus vorgegangen sei, sagte ein Sicherheitsforscher, der lieber anonym bleiben möchte.

Die DNS-Sinkholes fanden sich zwar in einem Register zusammengefasst, Microsoft sah aber darin entweder nicht nach oder ignorierte es bewusst, als es die Domains abschaltete. „Ich hatte gehofft, Microsoft habe seine Lektion gelernt, aber offenbar hat sich gar nichts geändert, und meine Bemühungen waren umsonst“, schreibt der Schweizer Microsoft-Kritiker.

Das Problem: Shadowserver kann jetzt nicht mehr die IP-Adressen von Botnetz-Clients ermitteln und deren Besitzer verständigen. „Ich kann sagen, dass fast 1000 der 4000 vom Microsoft beschlagnahmten Domainnamen schon von Sicherheitsforschern zu Sinkholes umfunktioniert worden waren. Tatsächlich waren diese 1000 Domains keine Bedrohung für Internet-Nutzer mehr, sondern wurden genutzt, um das Internet zu einem angenehmeren Aufenthaltsort zu machen.“

Das ist jedoch nicht das einzige Vorgehen des Windows-Herstellers, das kritisiert wird. Microsoft führe nämlich über Citadel-Konfigurationsdateien Code auf infizierten Maschinen aus, heißt es. Dies geschieht zu einem guten Zweck, nämlich um zu verhindern, dass die Botnetz-Clients andere Kommandoserver kontaktieren, die noch laufen. Microsoft hole aber keine Genehmigung der Opfer ein, bevor es Code auf deren Rechner ausführe – auch dann nicht, wenn sie außerhalb der USA wohnten, wo die Microsoft ausgestellte gerichtliche Anordnung gilt. Dies dürfte in vielen Ländern illegal sein.

Claudio Guarnieri, der für Rapid7 tätig und ebenfalls Mitglied bei Shadowserver ist, fordert Microsoft nun auf, „sich mit anderen Forschern abzusprechen, bevor man Domains übernimmt, die schon im Fokus anderer Abschalt- und DNS-Sinkhole-Bemühungen stehen.“ Sinkholing sei außerdem der bessere Weg, mit infizierten Clients umzugehen; parallel müsse man die Eigentümer informieren. „Code sollte man nicht ausführen.“ Wenn jeder im Sicherheitsbereich so arbeiten würde wie Microsoft, „gäbe das ein vollständiges, unübersehbares Chaos.“

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago