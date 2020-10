Bereits kurz nachdem vergangene Woche auf dem anonymen Messageboard 4chan angeblicher Quellcode von Windows XP und Server 2003 aufgetaucht war, hatten erste Analysen von Sicherheitsforschern und Windows-Experten auf die Echtheit des Leaks hingedeutet.

Diese Vermutungen scheinen sich nun zu bestätigen: Ein IT-Techniker aus den USA, der den Nicknamen NTDEV verwendet, will Teile des geleakten Codes erfolgreich kompiliert haben. Zwei Videos, in denen er den Vorgang dokumentiert haben will, wurden allerdings von der Videoplattform YouTube entfernt – und zwar auf Veranlassung von Microsoft.

Über das Leak hatte heise online vergangene Woche berichtet:

Windows XP und 2003 Angeblicher Quellcode auf Messageboard 4chan veröffentlicht

Fast vollständige Server 2003-Installation

Gegenüber ZDNet beschrieb NTDEV die Resultate seiner Bemühungen: Ihm seien eine – aufgrund fehlender Komponenten allerdings nicht vollständig lauffähige – XP-Installation sowie eine funktionierende Server 2003-Installation gelungen. Im Falle von XP hätten sich zumindest bestimmte Dateien wie etwa der Kernel und der Explorer leicht kompilieren lassen. Andere Komponenten wie Winlogon und zahlreiche Treiber hätten jedoch gefehlt.

NTDEV äußerte dennoch die Einschätzung, dass man aus dem XP-Code – abgesehen von den fehlenden Komponenten – wohl sämtliche SKUS (Stock Keeping Units, also Handelsversionen) sowie freie optimierte Retail-Builds erstellen könnte.

Der geleakte Code von Server 2003 wiederum sei vollständiger als der von XP; allerdings habe er auch hier nachträglich insbesondere Dateien der Windows-Anmeldung (winlogon) ersetzen müssen, um eine voll funktionsfähige Version zu erstellen. Dass ausgerechnet Winlogon-Code fehle, könnte NTDEVs Vermutung nach auch Absicht sein: Dieser könne eng mit dem initialen Aktivierungsprozess des Betriebssystems zusammenhängen und Remote-Kontrollmechanismen beinhalten, durch die Microsoft unrechtmäßig kompilierten Versionen auf die Schliche kommen könnte.

Microsoft lässt mögliche Video-Beweise entfernen

Die wichtigste Erkenntnis aus NTDEVs Analysen dürfte letztlich die Authentizität des vorhandenen Codes sein. Bislang hat sich Microsoft noch immer nicht geäußert.

Die gegenüber ZDNet beschriebenen Code-Details lassen sich derzeit allerdings nur schwer nachprüfen: Zwei Videos, die den Kompiliervorgang Schritt für Schritt zeigen sollen, wurden von NTDEVs YouTube-Kanal entfernt. Dabei fällt auf, dass die Sperrung der Videos offenbar ausgerechnet "aufgrund einer Beschwerde wegen Urheberrechtsverletzung durch Microsoft Corporation" vorgenommen wurde. Dies könnte man durchaus als deutlichen Hinweis darauf interpretieren, dass sie tatsächlich etwas zeigen, das Redmond der breiten Öffentlichkeit vorenthalten möchte.

Die heise online-Redaktion hat zumindest das Video zu XP gesehen. Es zeigt einen fast 10-minütigen Kompilier-Vorgang auf einem XP-Desktop; anschließend werden (möglicherweise) frisch kompilierte XP-Tools ausgeführt. Eine verbindliche Aussage zur tatsächlichen Beweiskraft des Videos oder gar zur Authentizität des Codes lässt sich auf dieser Basis aber kaum treffen. (ovw)