WeBLOG
Wichtiger Windows Kryptographie-Patch (15.01.2020)
Zum Januar-Patchday am 14.01.2020 liefert Microsoft für Windows ein ausserordentliches Sicherheitsupdate aus, welches eine schwerwiegende Sicherheitslücke in einer zentralen kryptographischen Komponente schliesst. Der Fehler liegt in der Windows-Bibliothek crypt32.dll, die für die Absicherung von Windows-Anwendungen über digitale Zertifikate zuständig ist, und betrifft alle Windows 10 und Windows Server 2016/2019!
Diese sehr kritische Sicherheitslücke kann vielseitig missbraucht werden. Z.B. um digitale Signaturen für Softwarepakete zu fälschen, d.h. üble Malware würde dann als gutartiges Programm interpretiert werden. Aber auch die Authentifizierung auf Windows-Rechnern oder der Schutz sensibler Daten, die von Web-Browsern über die CryptoAPI verschlüsselt werden, könnten ausgehebelt werden.



Der Patch wurde, wie man hört, schon vorab an das US-Militär ausgeliefert, um dortige Internet-Infratrukturen sofort zu schützen. Dies zeigt wie kritisch die Lage ist. Deshalb sollten die Januar-Patches zügig installiert werden.

Einem Bericht der Washington Post zufolge hat die amerikanische National Security Agency (NSA) den Fehler entdeckt und an Microsoft gemeldet. Offensichtlich eine unerwartete Wendung der üblichen Vorgehensweise, denn bisher wurden solche Sicherheitslücken von Geheimdiensten eher geheimgehalten und ausgenutzt. Man erinnere sich z.B. an das Fiasko mit dem Angriffswerkzeug "Eternal Blue" vor einigen Jahren...



Nachtrag 16.01.2020:

Kaum ist ein Tag vergangen, schon sind die ersten Exploits in freier Wildbahn gesichtet worden. Mit diesen ist es einem Angreifer u.a. möglich, sich als Man-in-the-Middle in eine verschlüsselte HTTPS-Verbindung einzuklinken. Diese wäre dann zum einen belauschbar und zum anderen manipulierbar. Auch denkbar ist die Fälschung eines TLS-Zertifikats, um eine betrügerische Website gegenüber dem Webbrowser als legitim auszuweisen.

Microsoft hat neben den veröffentlichten Sicherheitspatches zusätzlich auch den Windows-Defender mit einem Schutz vor solchen Angriffen versehen, d.h. dieser sollte Fake-Zertifikate erkennen und davor warnen.
Kommentare (0) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.



 Die Übertragung erfolgt SSL-verschlüsselt, d.h. mit Protokoll https
(mit * kennzeichnet ein Pflichtfeld)
Name*:
eMail-Adresse*:
Homepage:
 Homepage wird zum Kommentar angezeigt
Kommentar*:Zeichen frei:

Datenschutz - Einwilligung DSGVO*:


Sicherheits-Abfrage*:
Bitte geben Sie die Summe als Zahl ein (z.B. VIER+ACHT=12).
Bild mit Rechenaufgabe 
 

Hinweise: Eine eingegebene URL (Internetadresse) wird automatisch erkannt und verlinkt, deshalb bitte keinen HTML-Code eingeben.

Wir behalten uns vor, Kommentare vor der Veröffentlichung zu prüfen (Wir benachrichtigen Sie dann über eine Freigabe per E-Mail). Erst-Kommentare werden grundsätzlich zuvor geprüft. Haben Sie bereits Kommentare mit derselben E-Mail-Adresse abgegeben und wir Sie als vertrauenswürdig eingestuft, wird Ihr Kommentar ohne Prüfung sofort veröffentlicht. Auch in diesem Fall behalten wir uns vor, Kommentare nachträglich zu sperren oder endgültig zu löschen, verletzende oder gesetzlich unzulässige Inhalte zu entfernen oder die Vertrauenswürdigkeit wieder herabzustufen.