Microsoft hat eingeräumt, dass eine Hackergruppe eine bisher unbekannte Schwachstelle in seinem Betriebssystem Windows ausgenutzt hat. Sie solle mit einem Update am 8. November gestopft werden, erklärte der Software-Riese in einem Blogeintrag in der Nacht zum Mittwoch. Microsoft führt die Gruppe unter dem Namen "Strontium", nach Informationen des "Wall Street Journal" handelt es sich um die selben Hacker mit mutmaßlicher Verbindung zu Russland, die E-Mails beim Vorstand der Demokratischen Partei in den USA gestohlen hatten.

Die Vorgehensweise von "Strontium" sei, sich mit Hilfe präparierter Links in authentisch aussehenden E-Mails Zugang zu Computern und dem Netzwerk dahinter zu verschaffen, schrieb Microsoft. Es sei die selbe Gruppe, die andere IT-Sicherheitsexperten wie etwa Crowdstrike unter der Bezeichnung "Fancy Bear" führten, schrieb das "Wall Street Journal".

Bei dem Angriff auf Windows kam auch eine bisher unbekannte Sicherheitslücke in der Multimedia-Software Flash von Adobe zum Einsatz, wie Microsoft weiter mitteilte. IT-Sicherheitsforscher von Google hatten vor einigen Tagen auf das Problem hingewiesen. Windows-Chef Terry Myerson kritisierte in dem Blogeintrag das Vorgehen. "Googles Entscheidung, diese Schwachstellen öffentlich zu machen, bevor Gegenmaßnahmen breit verfügbar und getestet sind, ist enttäuschend und verstärkt das Risiko für die Kunden", schrieb er. Zugleich seien die Nutzer in Microsofts neuem Webbrowser Edge auf der neuesten Version von Windows 10 bereits sicher gewesen.

Google hatte in der Vergangenheit bereits mehrfach Sicherheitslücken in Windows veröffentlicht, bevor die Redmonder den entsprechenden Fehler behoben hatten. So hat der Internet-Konzern etwa Anfang 2015 eine Lücke veröffentlicht, da Microsoft diesen Bug auch nach Ablauf einer dreimonatigen Frist nicht behoben hatte.

Generell sehen die Vorgaben von Googles Sicherheitsteam "Project Zero" vor, dass entdeckte Sicherheitslücken zunächst dem jeweiligen Entwickler berichtet werden. Dieser hat dann rund 90 Tage Zeit, um den Bug zu beheben. Sollte der Fehler bis dahin nicht behoben sein, erfolgt die Veröffentlichung. Falls Sicherheitslücken aber wie im aktuellen Fall schon von Cyberkriminellen genutzt werden, erfolgt die sofortige Veröffentlichung. Dies soll einerseits die Entwickler unter Zugzwang setzen und andererseits Nutzern und Systemadministratoren die Möglichkeit bieten, Gegenmaßnahmen einzuleiten.