Es klingt nach einem Horror: Microsoft veröffentlicht einen Patch zu einem aktuellen Problem und nur ein paar Stunden danach hagelt es schon automatische Angriffe auf die Rechner im Netz. Das Szenario ist der Alptraum eines jeden Benutzers und Administrators.

Doch ist sowas praktisch überhaupt möglich? Ich denke, dass es eigentlich nur eine Frage der Zeit ist, bis solche Methoden angewendet werden. Meine Behauptung sieht folgendermaßen aus:

Ein Patch wird veröffentlicht. Nehmen wir einmal an, direkt am Patchday. Unser Angreifer ist einer der ersten Leute, die den Patch downloaden. Der Patch tauscht einige Dateien aus bzw modifiziert sie um eine Schwachstelle zu beseitigen. Unser Angreifer nimmt nun nach Einspielen des Patches ein Backup zur Hand und vergleicht dieses mit dem aktuellen Zustand des Systems um die modifizierten Dateien zu finden um diese schließlich zu vergleichen.

Durch gezielte Analyse der veränderten Dateien sollte es möglich sein, die Suche so zu verfeinern um das Sicherheitsproblem zu sehen. Durch gezieltes Reverse-Engineering, dem ‚Zurückübersetzen‘ von Dateien in deren Quellcode, sollte so die Arbeit vorausberechnet werden können. Technisch sollte es dann mit dem Sourcecode zusammen möglich sein, automatisch entsprechenden Schadcode zu generieren.

Warum ich dieses Szenario für so gefährlich ansehe, wenn doch jeder Patch eingespielt wird kommt daher, dass es immer eine Zeit braucht, bis dieser tatsächlich beim Endkunden einlangt und schließlich am Gerät selbst installiert ist und der eventuell notwendige Reboot erfolgt ist. Wenn man dann noch die Leute in Betracht zieht, die Patches immer nur an bestimmten Wochentagen einspielen, ergibt das trotzdem noch eine ausreichend große Menge an potentiellen Opfern.