Eine Sicherheitslücke in der Zertifikatsprüfung von Windows ermöglicht Angriffe auf verschlüsselte Verbindungen und signierte Dateien. Sicherheitsforscher streiten darüber, wie kritisch das Problem ist – das ausgerechnet von einem Geheimdienst gefunden wurde.
Microsoft hat am monatlichen Patch-Tuesday eine Sicherheitslücke in der crypt32.dll geschlossen, der zentralen Verschlüsselungsbibliothek von Windows. Experten streiten derzeit darüber, wie kritisch diese Lücke für Anwender ist. Doch das Sicherheitsproblem ist noch in anderer Hinsicht bemerkenswert.
Der Journalist Brian Krebs hatte vorab in einem Blogbeitrag vor der Sicherheitslücke mit der Bezeichnung CVE-2020-0601 gewarnt. Das Problem könne ausgenutzt werden, um digitale Signaturen vorzutäuschen. Konkret betroffen ist die Prüfung von X.509-Zertifikaten die auf Basis elliptischer Kurven (Elliptic Curve Cryptography, ECC) erstellt wurden. Nach Angaben der National Security Agency (NSA), die das Problem als „ernst“ bezeichnet, ist es möglich per HTTPS verschlüsselte Verbindungen anzugreifen, oder die Signaturen von Dokumenten oder E-Mails zu fälschen. Eine Manipulation des Updates-Prozesses von Windows ist, anders als zunächst befürchtet, offenbar nicht möglich. Betroffen sind nach derzeitigem Kenntnisstand Windows 10, sowie Microsoft Windows Server 2016 und Server 2019.
Microsoft hat die Lücke mittlerweile bestätigt und im Rahmen des Patch-Tuesday geschlossen. Anwender sollten die Updates dementsprechend so schnell wie möglich einspielen, um ihr System abzusichern. Der Betriebssystem-Hersteller stuft das Update als „wichtig“, aber nicht als „kritisch“ ein. Angriffe über die Lücke seien bislang jedenfalls nicht beobachtet worden. Einige Sicherheitsforscher bezeichnen die Einstufung des Problems durch Microsoft zwar als konsistent mit den eigenen Konventionen für die Bewertung von Sicherheitslücken, da es nicht möglich ist direkt Code auf dem betroffenen System auszuführen. Microsoft stuft eine Sicherheitslücke nur als „kritisch“ ein, wenn sie unmittelbar die Ausführung von beliebigem Code ermöglicht. Das ist in diesem Fall jedoch nicht gegeben. Trotzdem sei das Problem „ziemlich schlimm“, schreibt etwa Tavis Ormandy auf Twitter.
Wie auch immer man die Sicherheitslücke im Detail bewerten mag – die zur Verfügung stehenden Updates sollten umgehend eingespielt werden. Es ist zunächst einmal ein gutes Zeichen, dass das Problem von der NSA an Microsoft gemeldet wurde und nicht für verdeckte Angriffe genutzt wird.
Bemerkenswert ist, dass die Sicherheitslücke vom US-Geheimdienst NSA entdeckt und vorab an Microsoft gemeldet wurde. In der Vergangenheit hatte der Nachrichtendienst Sicherheitslücken für sich behalten und damit Kritik auf sich gezogen. Nach Auseinandersetzungen um das Heartbleed-Problem im Jahr 2014 etwa war US-Behörden vorgeworfen worden, die Sicherheit der Nutzer zu gefährden, um Angriffswerkzeuge für Operationen nutzen zu können. Als Reaktion darauf wurde der sogenannte Vulnerabilities-Equities-Process (VEP) eingeführt, mit dem bewertet werden soll, wie kritisch ein Problem ist, und ob US-Behörden dazu verpflichtet sind, den Hersteller zu informieren – damit dieser die Lücke patchen und seine Nutzer schützen kann (PDF in englischer Sprache; Link öffnet sich in einem neuen Fenster).
Mit dem Patch-Tuesday hat Microsoft weitere Sicherheitslücken geschlossen. Darunter ist ein Problem im Remote Desktop Gateway, das die Ausführung von Code über das Netzwerk ermöglicht.
Hauke Gierow
Head of Corporate Communications