Klartext: Windows-Fehlermeldungen verraten Schwachstellen

Das Tool Error Reporting (WER), das auch unter dem Namen Dr. Watson geführt wird, schickt sensible Informationen über einen PC unverschlüsselt an Microsoft. Wie ein Sicherheitsforscher jetzt warnt, ist das nicht nur für Hacker und Kriminelle ein gefundenes Fressen. Selbst so harmlose Vorgänge, wie etwa das Anschließen einer Maus, meldet der Rechner nach Redmond – mit oder ohne Wissen des Nutzers.

WER_Traffic_USB
Microsoft Error Reporting (WER) nutzt keine Verschlüsselung, um erste Informationen von Systemveränderungen oder Fehlern von einem PC an einen Microsoft-Server zu übertragen. Ein schwerwiegenden Sicherheitsleck, so der IT-Sicherheitsspezialist Websense.

Dr. Watson erhebt eine ganze Menge von hochsensiblen Daten über einen PC und sendet diese – etwa im Fall eines Absturzes – unverschlüsselt an Microsoft. Darin sind zum Beispiel Informationen über das Betriebssystem, Version, Patch-Status und auch über angeschlossene Geräte enthalten.

Der Sicherheitsforscher Alex Watson, Director Research bei dem IT-Sicherheitsanbieter Websense, warnt jetzt davor, dass genau diese Daten für einen Hacker wertvolle Informationen liefern können. Aber auch staatliche Überwacher könnten von diesen Details profitieren.

Microsoft hat diese Funktion mit Windows XP eingeführt. Und seit dem nutzen sämtliche Versionen des Betriebssystems bis hinauf zu Windows 8, Das so genannte Windows Error Reporting System. In den Datenschutzerklärungen hält Microsoft fest, dass nicht in jedem Fall der Nutzer über eine Mitteilung des Systems an einen Microsoft-Server informiert wird.

Und so, erklärt Watson, sei es der Fall, dass jedes Mal, wenn ein USB-Gerät an einen Windows-Rechner angeschlossen wird, eine automatische Meldung an Microsoft ergeht – mit oder ohne Interaktion des Nutzers.

Damit nicht genug. Zudem sendet Microsoft diese Informationen ohne jede Verschlüsselung über eine herkömmliche http-Verbindung. Das bedeutet, dass auch ohne tiefes technisches Wissen, etwa über eine man-in-the-middle-Attacke, diese Informationen ausgelesen werden können. Daher rät der Sicherheitsforscher, dass Unternehmen hier auch den Empfehlungen Microsofts folgen sollten, sämtliche Meldungen an einen internen Server zu senden und diese über Group Policy zu verwalten. Ist das aber nicht der Fall, sei es für Spione wie für Hacker ein Leichtes, an diese wertvollen Informationen zu kommen.

In einem vorläufigen Bericht zeigt Websense, welche Informationen an Microsoft übermittelt werden, wenn man zum Beispiel eine kabellose USB-Maus an einen Rechner anschließt:
• Date
• USB Device Manufacturer
• USB Device Identifier
• USB Device Revision
• Host computer – default language
• Host computer – Operating system, service pack and update version
• Host computer – Manufacturer, model and name
• Host computer – Bios version and unique machine identifier

Diese Informationen könnten einem Hacker zeigen, welche Sicherheitslecks in einem System vorhanden sind.

Wie Watson gegenüber US-Medien erklärt, könne Microsoft in einem Fehlerfall auch weitere Informationen über einen Windows-PC abfragen. Die Übermittlung dieser Informationen allerdings sendet Microsoft dann über HTTPS.

Doch natürlich haben diese Informationen auch Vorteile. Der Hersteller kann so verlässlichere Patches für Fehler herstellen. Und die Informationen aus Dr. Watson könnten auch den IT-Abteilungen helfen. Denn aus diesen ersten Informationen könnte sich zum Beispiel ablesen lassen, ob in einem Netzwerk eine Malware installiert ist.

Dennoch betont der Sicherheitforscher in einem Blog, dass die Tatsache, dass die initialen Meldungen unverschlüsselt übertragen werden, ein großes Sicherheitsleck bedeuten. Schließlich würden rund 80 Prozent aller mit dem Internet verbundenen Rechner weltweit, über diese Funktion verfügen. Und damit sind wohl mehr als eine Milliarde Rechner weltweit von diesem “Leck” betroffen. Die aktuelle Veröffentlichung sei lediglich ein Vorbericht. Zur RSA Sicherheitskonferenz ist für den 24. Februar ein umfassender Bericht zu den Forschungsergebnissen angekündigt.

Hier eine Fehlermeldung bei einem Absturz. Um diese Meldung an Microsoft weiterzuleiten, ist die Zustimmung des Nutzers erforderlich. Auch diese Übertragung erfolgt unverschlüsselt über HTTP, was Hackern den Zugriff auf diese wertvollen Informationen ermöglicht. Quelle: Websense
Hier eine Fehlermeldung bei einem Absturz. Um diese Meldung an Microsoft weiterzuleiten, ist die Zustimmung des Nutzers erforderlich. Auch diese Übertragung erfolgt unverschlüsselt über HTTP, was Hackern den Zugriff auf diese wertvollen Informationen ermöglicht. Quelle: Websense