Microsoft hat sehr schnell reagiert. Nachdem Sicherheitsfirmen eine Sicherheitslücke in allen Windows-Versionen entdeckt hat, die im Zusammenhang mit dem Hacking-Team-Hack stehen, hat der Konzern innerhalb weniger Stunden einen Notfallpatch (MS15-078) veröffentlicht. Die Lücke kann dazu missbraucht werden, um eine Privilegienerhöhung in Windows durchzuführen. Damit könnten Angreifer die Systeme des Opfers mit Rootkits oder Bootkits infizieren, ohne dass der Benutzer davon in Kenntnis gesetzt wird. Angreifer könnten auch eine Fernkontrolle über die betroffenen System übernehmen.

Die Enthüllungsplattform Wikileaks hatte zuvor zahlreiche Hacking-Team-Daten, eine Firma die u.a. Trojaner und andere Überwachungssoftware an Behörden verkauft, veröffentlicht. In diesen Daten fanden sich Hinweise über die Lücke.

Programmierfehler im Opentype-Font-Treiber

Der Patch von Microsoft behebt einen Programmierfehler im Opentype-Font-Treiber, der für eine Remote-Code-Ausführung auf praktisch allen Windows-Client-Systemen missbraucht kann. Während dieser Treiber, atmfd.dll, das Font-Rendering in einigen Adobe-Produkten übernimmt, wird er bereits seit längerer Zeit von Microsoft ausgeliefert und ist auch von Microsoft signiert. Da diese Sicherheitslücke in einem Font-Renderer enthalten ist, sind die häufigsten Angriffsszenarien, dass ein Angreifer sein Opfer zu einer schädlichen oder manipulierten Website lockt oder dazu verleitet, einen gefährlichen Anhang zu öffnen.

Vollständig deaktivieren

Microsoft fordert Nutzer auf, ihre Windows-Clients so bald wie möglich zu aktualisieren. "Sind ein Patch und Neustart nicht möglich, sollten Nutzer den Font-Rendering-Service vollständig deaktivieren, indem Sie den detaillierten Anweisungen im Microsoft-Artikel MS15-078 folgen", rät das Securityunternehmen Rapid7. (red, 23.7. 2015)