Categories: Sicherheit

Windows-Server anfällig für DoS-Attacken

Tavis Ormandy von Google Project Zero hat eine Sicherheitslücke in der Windows-Verschlüsselungsbibliothek SymCrypt öffentlich gemacht, nachdem Microsoft diese nicht wie zugesagt innerhalb von drei Monaten beheben konnte. Der Sicherheitsforscher hatte sie schon im März vertraulich an Microsoft gemeldet, das die Gefährdung bis spätestens 11. Juni 2019 beseitigen wollte.

Kurz vor dem Termin für seinen Juni-Patchday gab Microsoft jedoch zu verstehen, dass es Googles übliche Frist für die Fehlerbehebung innerhalb von 90 Tagen nicht einhalten konnte. Als Grund nannte der Softwarekonzern „Probleme, die beim Testen auftraten“. Das Sicherheitsloch soll nun erst am Patch-Dienstag im Juli geschlossen werden.

SymCrypt dient als Microsofts primäre Verschlüsselungsbibliothek für symmetrische Algorithmen seit Windows 8. Seit Windows 10 1703 wurde es auch primäre Verschlüsselungsbibliothek für asymmetrische Algorithmen. Microsoft stellte die seit 2006 entwickelte Standardbibliothek in diesem Jahr unter die MIT-Lizenz und machte sie als quelloffenen Code zugänglich, behielt sich jedoch weiterhin eine nur interne Entwicklung vor.

Ormandy entdeckte den Bug in arithmetischen Routinen der Standardbibliothek für Verschlüsselungsfunktionen. Ihm zufolge kann das zu Berechnungen führen, die in einer unendlichen Schleife ablaufen. „Ich habe ein X.509-Zertifikat erstellen können, das den Fehler auslöst“, schreibt er. Er habe sodann entdeckt, dass das Einbetten des Zertifikats etwa in einer S/MIME-Nachricht, einer Authenticode-Signatur oder einer SChannel-Verbindung effektiv jeden Windows-Server zu einem Denial of Service (DoS) bringe – also den Dienst zu verweigern. Das gelte beispielsweise für IPsec, Internet Information Server (IIS) und Exchange. Kontextabhängig könnte ein Neustart des Rechners erforderlich sein. Da viel Software wie etwa Antiviruslösungen diese Routinen bei nicht vertrauenswürdigen Inhalten aufrufen müssten, bringe sie das zum Stillstand.

„Ich melde das als geringes Risiko, obwohl sich damit ziemlich rasch eine Windows-Flotte außer Betrieb setzen lässt“, merkt Googles Sicherheitsforscher ironisch an. Tavis Ormandy hat sich einen Namen gemacht, indem er schon häufiger kritische Sicherheitslücken in verbreiteter Software aufdeckte. So meldete er unter anderem Sicherheitslöcher im Passwortmanager LastPass sowie in Produkten von Symantec, Kaspersky und AVG. Zusammen mit seiner Kollegin Natalie Silvanovich entdeckte er eine kritische Schwachstelle in Microsofts Malware Protection Engine, die in zahlreichen Sicherheitsprodukten enthalten ist.

Bernd Kling

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

3 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

3 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

4 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

5 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago