Microsoft: Windows ist anfällig für Verschlüsselungs-Lücke Freak

Der Fehler steckt in der für die Verschlüsselung zuständigen Komponente Secure Channel. Davon betroffen sind alle Versionen von Windows Server 2003 bis RT und RT 8.1. Für alle Versionen ab Windows Vista liegt ein Workaround vor.

Microsoft hat bestätigt, dass auch sein Betriebssystem Windows anfällig ist für die Freak genannte Sicherheitslücke, die Man-in-the-Middle-Angriffe gegen verschlüsselte Internetverbindungen erlaubt. Davon betroffen sind alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1.

freakattack.com (Screenshot: ZDNet.de)

Der Fehler steckt einem Security Advisory zufolge in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel). Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen schwächeren RSA-Schlüssel mit einer Länger von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.

Microsoft weist darauf hin, dass mit Ausnahme von Windows Server 2003 die Serverbetriebssysteme in der Voreinstellung nicht anfällig sind, weil der Export von Verschlüsselungen deaktiviert ist. Ab Windows Vista lässt sich zudem über den Gruppenrichtlinien-Editor ein Workaround einrichten.

Dafür muss die Reihenfolge der SSL-Verschlüsselungssammlungen verändert werden. Sie findet sich in den Richtlinien für Lokale Computer unter Computerkonfiguration, Administrative Vorlagen, Netzwerk im Ordner SSL-Konfigurationseinstellungen. Das Advisory enthält wiederum eine neue Verschlüsselungssammlung und die zugehörige Anleitung. Windows soll anschließend Verbindungen mit den für Freak-Angriffe benutzten schwachen Schlüsseln nicht mehr unterstützen. Die Lücke an sich wird dadurch aber nicht geschlossen.

Obwohl Microsoft an der Entdeckung der Schwachstelle beteiligt war, hat es sich erst gestern Abend entschlossen, die Anfälligkeit in Windows öffentlich zu machen. „Als die Sicherheitswarnung erstmals veröffentlicht wurde, lagen Microsoft keine Hinweise vor, dass das Problem für Angriffe auf Kunden benutzt wird“, teilte der Softwarekonzern mit.

Nach Abschluss seiner Untersuchung will Microsoft weitere Maßnahmen zum Schutz seiner Kunden ergreifen. Einen Fix werde es im Rahmen eines monatlichen Patchdays oder möglicherweise auch außer der Reihe bereitstellen. Der März-Patchday findet am kommenden Dienstag statt.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.

Durch die Schwachstelle kann die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, kompromittiert werden. Apple und Google arbeiten bereits an einem Fix. Neben den mobilen Browsern in iOS und Android ist auch die Desktop-Version des Apple-Browsers von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome und Firefox sind hingegen immun gegen Freak. Auch der in Blackberry 10.3.1 integrierte Browser ist anfällig für Freak.

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[mit Material von Chris Duckett, ZDNet.com]

Themenseiten: Microsoft, Secure-IT, Server, Sicherheit, Verschlüsselung, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft: Windows ist anfällig für Verschlüsselungs-Lücke Freak

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *