Geheimdienst meldet Microsoft und der Welt eine Security-Lücke

15. Januar 2020, 14:55
  • security
  • lücke
  • microsoft
  • cert
  • insideit
image

Die Microsoft Windows CryptoAPI kann die ECC-Zertifikatsketten nicht korrekt validieren: Eine beachtenswerte Lücke hat die NSA da gefunden.

Die Windows-Lücke CVE-2020-0601 schafft es in die Mainstream-Medien rund um die Welt. Dies nicht primär wegen ihrer – durchaus vorhandenen – Gefährlichkeit, sondern weil der US-Geheimdienst NSA beansprucht, die Lücke entdeckt und Microsoft gemeldet zu haben.
Warum die NSA in diesem Fall ans Allgemeinwohl der Welt denkt, statt die Lücke im Interesse der USA auszunutzen, wird aus dem Statement nicht klar. Zwar wägen US-Geheimdienste ab, ob sie eine von ihnen entdeckte Sicherheitslücke dem Hersteller melden oder, wie in früheren Fällen, sie einfach ausnutzen. Eine NSA-Mitarbeiterin sagte 'Krebs on Security', dass Microsoft erstmals der NSA eine Meldung zuschreibe.
Ob die NSA die Lücke schon vor geraumer Zeit entdeckt hat, bleibt unklar. Jedenfalls beschreibt der Geheimdienst die Problematik recht detailliert (PDF). Es geht darum, dass eine Spoofing-Schwachstelle besteht in der Art und Weise, wie die Windows CryptoAPI (Crypt32.dll) ECC-Zertifikate (Elliptic Curve Cryptography) validiert.
Auch US-CERT hat in einer Vulnerability Note Hintergrund-Informationen und vergibt für die Lücke den hohe Basescore von 9.4 (von möglichen 10).
Microsoft hat nun Updates für diese Schwachstelle CVE-2020-0601 veröffentlicht und für die betroffenen Systeme einen Basescore von 8.1 notiert. Das signalisiert, dass ein User nicht allzu lange warten sollte, obwohl man bis anhin keinen aktiven Exploit sehe. "Ein Angreifer könnte die Lücke ausnutzen, indem er ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei verwendet, so dass der Eindruck entsteht, die Datei stamme aus einer vertrauenswürdigen, legitimen Quelle. Der Benutzer hätte keine Möglichkeit, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt."
Betroffen sind diverse Produkte, von Windows 10 für diverse Systeme, über Windows Server 2016 bis Windows Server 2019. US-CERT schreibt ergänzend, dass Windows 8.1 und frühere Versionen sowie Server 2012 R2 und frühere Pendants nicht betroffen seien. 

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

ChatGPT wächst so schnell wie keine andere App

Der KI-Chatbot bricht Rekorde und verzeichnet 100 Millionen aktive Nutzer innert nur 2 Monaten. Nun soll bald ein Abo-Modell eingeführt werden.

publiziert am 2.2.2023