Praxis: Windows gegen Freak absichern [Update]

Microsofts Internet Explorer ist entgegen ersten Tests doch anfällig für die Sicherheitslücke Freak. Der Name Freak steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria.

Laut Microsoft sind alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1. Der Fehler steckt einem Security Advisory zufolge in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel). Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen schwächeren RSA-Schlüssel mit einer Länger von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.

Das lässt sich aber verhindern. Wie Microsoft mitteilt, kann man bis zur Veröffentlichung eines Patches, der vermutlich in Kürze erscheinen wird, Windows-Versionen ab Vista gegen Freak absichern. Hierfür muss man lediglich mit dem Editor gpedit für Gruppenrichtlinien die Reihenfolge der SSL-Verschlüsselungssammlungen ändern. Nach dem Start von gpedit navigiert man in Computerkonfigurationen – Adminsitrative Vorlagen – Netzwerk – SSL-Konfigurationseinstellungen. Anschließend öffnet man mit einem Doppelklick „Reihenfolge der SSL-Verschlüsselungssammlungen“. Danach fügt man im Feld Verschlüsselungssammlungen die von Microsoft veröffentlichten Verschlüsselungssammlungen hinzu. Diese müssen sich allerdings in einer Zeile befinden und bis auf den letzten durch ein Komma getrennt sein.

Hierfür geht man wie folgt vor:

Die Einstellungen aktiviert man mit einem Klick auf die entsprechende Option. Nach einem Neustart ist Windows gegenüber Freak nicht mehr anfällig.

[UPDATE 7.3. 13.12 Uhr]

Offenbar bleibt der von Microsoft empfohlene Workaround nicht ohne unerwünschte Nebenwirkungen. So funktioniert nach der Anpassung der SSL-Verschlüsselungssammlungen Windows Update nicht mehr. Außerdem klappt die Verbindung zu einigen SSL-verschlüsselten Seiten wie Banken oder E-Mail-Diensten nicht mehr. Sollten diese Schwierigkeiten auftreten, kann man durch Deaktivierung von „Reihenfolge der SSL-Verschlüsselungssammlungen“ den ursprünglichen Zusatad wiederherstellen. Dadurch ist Windows alledings wieder anfälli für die Freak-Lücke. Diese schätzen allerdings einige Sicherheitsspezialisten als nicht besonders gravierend ein. So meint Gavin Millard von Tenable Network Security, dass die Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke Freak als nicht besonders hoch ein. Im Vergleich zu Heartbleed sei sie weniger gravierend, da ein Angriff wie zuvor bei Poodle nur sehr schwer zu bewerkstelligen sei. Hacker müssten zahlreiche Schritte durchführen, um Freak ausnutzen zu können.