Microsoft-Patchday: NSA warnt vor kritischer Windows-Lücke

Microsoft hat am ersten Patchday des Jahres nicht nur letztmalig kostenlose Sicherheitspatches für Windows 7 bereitgestellt, sondern auch eine besonders schwerwiegende Anfälligkeit in der Kryptographie-Bibliothek seines Betriebssystems beseitigt. Entdeckt wurde sie von der NSA – die erstmals einen Bug an Microsoft meldete statt ihn für eigene Zwecke zu horten.

Erste Details zu der Schwachstelle waren bereits am Montag durchgesickert. Einem Bericht des Sicherheitsexperten Brian Krebs zufolge sollen die Auswirkungen von Angriffen auf die Schwachstelle können so gravierend sein, dass Microsoft vorab bereits Patches an das US-Militär und Betreiber kritischer Infrastrukturen verteilte. Die NSA bestätigte indes lediglich, Betreiber kritischer Infrastrukturen vor dem Patchday über das anstehende Update informiert zu haben.

Der eigentliche Fehler mit der Kennung CVE-2020-0601 steckt in der Bibliotheksdatei crypt32.dll, die wiederum zur Windows CryptoAPI gehört. „Es besteht ein Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI ECC-Zertifikate validiert. Demnach ist es möglich, sogenannte Elliptic-Curve-Cryptography-Zertifikate zu fälschen und damit schädliche Dateien zu signieren. Der Bug erlaubt es aber auch, digitale Zertifikate, die für die Verschlüsselung von digitaler Kommunikation benutzt wird, zu fälschen – und somit zu entschlüsseln.

„Es kommt äußerst selten, dass die US-Regierung die Entdeckung einer kritischen Schwachstelle einem IT-Anbieter mitteilt. Dies unterstreicht das Ausmaß dieser Schwachstelle. Wir fordern alle Einrichtungen dringend auf, ihre Systeme so schnell wie möglich abzusichern“, kommentiert Amit Yoran, CEO von Tenable Network Security. „Höchst ungewöhnlich ist auch, dass Microsoft der US-Regierung und anderen Kunden, die empfindliche Infrastrukturen bereitstellen, im Voraus einen Systemfix zur Verfügung gestellt hat. All das weicht eindeutig von der üblichen Praxis ab.“

Yoran weist auch auf ungeklärte Fragen im Zusammenhang mit der Offenlegung der Krypto-Lücke hin. „Wann wurde die Schwachstelle entdeckt. Wurde sie von der NSA genutzt? Was war der Auslöser für die Offenlegung durch den Anbieter?“ Die NSA erklärte lediglich, man habe sich entschlossen, den Bug zu melden, statt ihn für eigene Zwecke zu horten. Damit habe der Geheimdienst seinen allgemeinen Umgang mit Schwachstellen geändert. Die NSA kündigte zudem an, weitere Bugs offenzulegen.

Betroffen sind Windows 10, Windows Server 2019 und Windows Server 2016. Nach Angaben von Microsoft und der NSA wurden bisher keine Angriffe auf die Anfälligkeit festgestellt.

Insgesamt bringt der Januar-Patchday Fixes für 49 Schwachstellen, von denen acht als kritisch eingestuft wird. Das gilt unter anderem für zwei Lücken in Windows Server 2012 und 2016, die das Windows Remote Desktop Gateway betreffen. Ein Angreifer könnte eine RDP-Verbindung aufbauen und speziell gestaltete Pakete senden, um schließlich die vollständige Kontrolle über ein betroffenes System zu übernehmen. Da der Angriff von der Abfrage von Anmeldedaten erfolgt, wird keine Interaktion mit dem Nutzer benötigt.

Weitere Patches stehen für Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive für Android, Microsoft Office sowie die Office Service und die Office Web Apps zur Verfügung. Außerdem stecken Sicherheitslücken in den Windows-Komponenten Common Log File System Driver, Microsoft Graphics, Windows Search, Hyper-V, Windows Media, Subsystem for Linux und Windows Update Stack.

WEBINAR

BlackBerry Intelligent Security - Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

15 Stunden ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

20 Stunden ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

22 Stunden ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

22 Stunden ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

24 Stunden ago

Bericht: Apple stellt Rechner mit ARM-Prozessor in den nächsten 18 Monaten vor

Das will Apple-Kenner Ming Chi Kuo von Informanten aus Apples Lieferkette erfahren haben. Der letzte Plattformwechsel fand 2006 von PowerPC…

2 Tagen ago