Wichtiger Windows Kryptographie-Patch (15.01.2020) |
Zum Januar-Patchday am 14.01.2020 liefert Microsoft für Windows ein ausserordentliches Sicherheitsupdate aus, welches eine schwerwiegende Sicherheitslücke in einer zentralen kryptographischen Komponente schliesst. Der Fehler liegt in der Windows-Bibliothek crypt32.dll, die für die Absicherung von Windows-Anwendungen über digitale Zertifikate zuständig ist, und betrifft alle Windows 10 und Windows Server 2016/2019! |
Diese sehr kritische Sicherheitslücke kann vielseitig missbraucht werden. Z.B. um digitale Signaturen für Softwarepakete zu fälschen, d.h. üble Malware würde dann als gutartiges Programm interpretiert werden. Aber auch die Authentifizierung auf Windows-Rechnern oder der Schutz sensibler Daten, die von Web-Browsern über die CryptoAPI verschlüsselt werden, könnten ausgehebelt werden. Der Patch wurde, wie man hört, schon vorab an das US-Militär ausgeliefert, um dortige Internet-Infratrukturen sofort zu schützen. Dies zeigt wie kritisch die Lage ist. Deshalb sollten die Januar-Patches zügig installiert werden. Einem Bericht der Washington Post zufolge hat die amerikanische National Security Agency (NSA) den Fehler entdeckt und an Microsoft gemeldet. Offensichtlich eine unerwartete Wendung der üblichen Vorgehensweise, denn bisher wurden solche Sicherheitslücken von Geheimdiensten eher geheimgehalten und ausgenutzt. Man erinnere sich z.B. an das Fiasko mit dem Angriffswerkzeug "Eternal Blue" vor einigen Jahren... Nachtrag 16.01.2020: Kaum ist ein Tag vergangen, schon sind die ersten Exploits in freier Wildbahn gesichtet worden. Mit diesen ist es einem Angreifer u.a. möglich, sich als Man-in-the-Middle in eine verschlüsselte HTTPS-Verbindung einzuklinken. Diese wäre dann zum einen belauschbar und zum anderen manipulierbar. Auch denkbar ist die Fälschung eines TLS-Zertifikats, um eine betrügerische Website gegenüber dem Webbrowser als legitim auszuweisen. Microsoft hat neben den veröffentlichten Sicherheitspatches zusätzlich auch den Windows-Defender mit einem Schutz vor solchen Angriffen versehen, d.h. dieser sollte Fake-Zertifikate erkennen und davor warnen. |
Kommentieren |