Die Folgen des Windows-XP-Leaks

Große Teile des Windows-XP-Codes sind an die Öffentlichkeit gelangt. Hat der Leak Auswirkungen auf die aktuellen Windows-Betriebssysteme?

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Von
  • Jan Mahn

Die Meinungen sind gespalten. Während die einen als Folge neue Angriffswellen auf aktuelle Windows-Versionen fürchten, hoffen andere sogar auf mehr Sicherheit. Ganz geheim war der Code aber nie.

Nachdem im Onlineforum 4Chan der Verweis auf ein Torrent-Paket mit Windows-XP- und Windows-Server-Quellcode aufgetaucht war, begann unter Windows-Nutzern und (selbsternannten) Sicherheitsexperten die Diskussion, welche Folgen diese Veröffentlichung haben würde. Wir haben uns den Code und die Diskussion genauer angesehen und wagen eine Einordnung.

An der Authentizität gibt es nicht viel zu zweifeln – der Code stammt mit hoher Wahrscheinlichkeit von Microsoft. Die Ordnerstruktur, die Kommentar- und Copyright-Header und die Inhalte stichprobenartig untersuchter C-Code-Dateien sind jedenfalls plausibel. Der Code im Torrent-Paket ist aber wirklich alt: Wir fanden Code für Windows XP mit Service Pack 1 vor, also etwa aus dem Jahr 2002. Aus derselben Zeit stammt auch der Code des Windows Server 2003. Es ist nicht das erste derartige Leck, dieser Code ist aber umfangreicher als bisher bekannte Fragmente.

Die Frage, ob der Leak für Nutzer schlimme Folgen haben wird, die bis heute Windows XP oder Windows Server 2003 im Einsatz haben, stellt sich eigentlich nicht. Wer diese Software bis ins Jahr 2020 geschleppt hat, sollte sich der immensen Gefahr bewusst sein.

Doch wie sieht es mit aktuellen Windows-Versionen aus? Die Code-Basen von Windows XP und Windows 10 haben ganz sicher Überschneidungen. Microsoft hat das Rad nicht millionenfach neu erfunden und viele Zeilen Code dürften es teilweise aus den 1990ern (darauf deuten Copyright-Hinweise im Code hin) bis in Windows 10 geschafft haben.

Um zentrale Protokolle anzugreifen, ist der Code kaum zu gebrauchen. Ein Blick auf den Code für SMB, ein beliebtes Einfallstor in Windows, ist beispielsweise völlig uninteressant. Mit Windows Vista kam der Nachfolger SMB 2, heute ist SMB 3 Standard. Microsoft rät immer wieder davon ab, SMB 1 zu verwenden, und weigert sich, SMB 1 zu reparieren. Es sei, so Microsoft, von Grund auf unsicher.

Viele Open-Source-Anhänger merken an, die Sicherheit eines Betriebssystems dürfe nicht davon abhängen, dass der Code geheim bleibt. Mit Open-Source-Software wie dem Linux-Kernel kann man Windows aber nicht vergleichen. Bei Linux können sich Sicherheitsforscher und Angreifer seit fast 30 Jahren den neuen Code in kleinen Häppchen vornehmen und analysieren.

Eine schlagartige Veröffentlichung des Windows-Codes hingegen könnte, so die Befürchtung, ein Wettrennen zur Folge haben, bei dem Microsoft immer nur reagieren könnte und monatlich neue Patches auf den Markt bringen muss. Vor allem Geheimdiensten und kommerziellen Anbietern von Angriffen könnte der Code jetzt als Inspiration dienen – wer gezielt nach Lücken im Code suche, finde vielleicht beim Blick auf den Code den entscheidenden Hinweis, der beim reinen Reverse-Engineering bisher fehlte.

Gegen ein solches Wettrennen spricht, dass die genannten Zielgruppen nicht bis zum Windows-Leak im Oktober 2020 warten mussten. Um in den letzten Jahrzehnten den Code zu sehen und zu analysieren, musste man sich nicht mal um einen Job als Entwickler bei Microsoft bewerben. Ganz legale Möglichkeiten gab es schon vor dem Leak: Microsoft bietet im Rahmen der "Shared Source Initiative" Zugriff auf seinen Code. Unternehmenskunden (ab 10.000 Windows-Lizenzen) können sich zum Beispiel für das Programm bewerben. Für große OEM-PC-Hersteller, MVPs und Hersteller von Embedded-Systemen gibt es ähnliche Programme und auch für Behördenvertreter, die die Software zum Beispiel im Hinblick auf Sicherheit und Datenschutz beurteilen müssen. Seit 2003 können sie sich für das "Government Security Program" (GSP) bewerben.

Diesen Weg dürften auch die Geheimdienste gegangen sein. Der Code wird jeweils zum Lesen im Browser angeboten, man kann die Ansicht auch mit der Microsoft-Entwicklungsumgebung Visual Studio verknüpfen und dann verfolgen, wie der Windows-Code mit eigenen Anwendungen interagiert. An all diese Angebote sind strenge Bedingungen geknüpft. Unter anderem verpflichtet man sich zur Verschwiegenheit.

Die Existenz dieser Angebote kann all jene beruhigen, die Angst davor haben, dass die Geheimdienste den geleakten Windows-XP-Code genau jetzt dafür nutzen werden, Exploits für aktuelle Windows-Versionen zu entwickeln, und dass diese in der nächsten Zeit massenhaft zum Einsatz kommen werden. Sollte die Kenntnis des Codes beim Entwickeln von Angriffen hilfreich sein, hätten diese Stellen in den letzten Jahren reichlich Gelegenheiten dazu gehabt, ihn einzusehen.

Das große Sicherheitsdesaster für Windows 10 wird aller Wahrscheinlichkeit nach ausbleiben. Dafür ist der Kreis der berechtigten Code-Leser in den letzten 18 Jahren einfach zu groß gewesen.

Mehr Infos

c't 23/2020

Dieser Artikel stammt aus c't 23/2020. Darin hat die Redaktion weltweit Datenlecks aufgespürt, sie stellt Apps & Gadgets gegen den Corona-Blues vor und hat aktuelle Android-Launcher getestet. Außerdem stieß die Redaktion auf einen fatalen Bug in neuen Geräten mit dem HDMI-Port in Version 2.1. c't 23/2020 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

(jam)