Kritische Sicherheitslücke in Windows
Das Windows-Update vom 14. Januar 2020 hat eine kritische Sicherheitslücke [I] in Windows 10 und Windows Server 2016/19 geschlossen. Dabei handelte es sich um eine Schwachstelle in der Windows-Komponente crypt32.dll, die unter anderem die Zertifikatsprüfung betrifft. Die Komponente wurde Berichten zufolge [II] schon vor über 20 Jahren bei Windows NT 4.0 eingeführt. Die Sicherheitslücke wurde von der NSA an Microsoft gemeldet. Die NSA hat am 14.01. ebenfalls Medien über den Vorfall informiert sowie Details [III] dazu veröffentlicht. Bereits im Vorfeld des Updates wurde viel über die Ausmaße und Schwere dieser Sicherheitslücke spekuliert.
Professor für Privatsphäre und Sicherheit in Informationssystemen, Otto-Friedrich-Universität Bamberg
„Die Sicherheitslücke betrifft Windows 10 und Windows Server 2016/2019. Es handelt sich um einen Fehler in einem Teil des Betriebssystems, der Sicherheitszertifikate überprüft. Betroffen sind nach aktuellem Stand ausschließlich diese Betriebssysteme und Anwendungen, die den Code dieser Betriebssysteme nutzen, um Sicherheitszertifikate zu überprüfen.“
„Der Fehler führt unter anderem dazu, dass Angreifer Windows beziehungsweise Anwendungen, die auf den fehlerhaften Code zurückgreifen, überlisten können, an sich nicht vertrauenswürdige Seiten (also Seiten, die kein vertrauenswürdiges Sicherheitszertifikat besitzen) zu öffnen sowie inkorrekt signierten Schadcode auszuführen.“
„Nach aktuellem Stand ist es allerdings nicht möglich, die Windows-Update-Funktion dadurch anzugreifen, also Windows dazu zu bringen, Schadcode herunterzuladen und auszuführen, der sich als Windows-Update tarnt. An dieser Stelle existieren zusätzliche Sicherheitsmechanismen.“
„Die Sicherheitslücke lässt sich nach aktuellem Stand grundsätzlich nur von gut ausgestatteten Angreifern ausnutzen, die die Möglichkeit haben, in den Datenverkehr von Nutzern einzugreifen. Dazu gehören neben Geheimdiensten und Strafverfolgungsbehörden natürlich die Mobilfunk- und Internetzugangsanbieter (ISPs), aber auch die Betreiber von WLANs.“
„Eine flächendeckende Ausnutzung oder automatisierte Angriffe, die große Teile der Internetnutzer in kurzer Zeit mit Schadsoftware infizieren, sind durch diese Sicherheitslücke momentan nicht zu erwarten.“
„Das Problem ist durch das Update behoben.“
„Gefunden und an Microsoft gemeldet wurde die Lücke von der NSA. Es ist üblich, dass Nachrichtendienste von sich aus nach Sicherheitslücken suchen. Jede gefundene Lücke wird daraufhin bewertet. Wenn man zur Einschätzung gelangt, dass die Lücke für die eigenen Spionageaktivitäten nützlich sein könnte und man glaubt, dass sonst niemand die Lücke ausnutzen kann, dann halten die Nachrichtendienste die Lücke geheim und nutzen sie für eigene Zwecke aus. Wenn man jedoch, wie offenbar im vorliegenden Fall, zur Einschätzung kommt, dass das Risiko, das durch das ‚offenlassen‘ für das eigene Land entsteht, größer ist als der potenzielle Nutzen, dann wird die Lücke an den Hersteller gemeldet.“
„Neu ist in diesem Zusammenhang, dass die NSA diesen Schritt sehr öffentlichkeitswirksam vollzogen hat und auch offiziell als Finder genannt werden wollte. Vermutlich soll dadurch das Image des Nachrichtendienstes verbessert werden.“
Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)
Auf die Frage nach der Größe des durch die Sicherheitslücke entstandenen Bedrohungsrisikos:
„Das Risiko bei einem Fehler in einer Kryptographie-Bibliothek ist sehr groß, da die gesamte Sicherheit dadurch zusammenbrechen kann. Ist beispielsweise die Prüfung der Authentizität von Nachrichten betroffen (wie bei crypt32.dll), so kann man Nachrichten, selbst aus scheinbar vertrauenswürdigen Quellen, nicht mehr trauen. Insbesondere könnte man Malware als legitime Updates ausgeben. Das ungewöhnliche Handeln der Beteiligten belegt, dass es sich um eine schwere Verwundbarkeit handelt (mit ‚ungewöhnlich‘ ist gemeint, dass die NSA Microsoft informiert, und dass Microsoft ausgewählte Kunden mit Updates versorgt, bevor die Verwundbarkeit bekannt gegeben wird).“
Auf die Frage, ob das Problem mit dem Update behoben ist und normale Nutzer danach vor Ausnutzung der Sicherheitslücke sicher sind:
„Das Update beseitigt eine Verwundbarkeit und schützt normale Nutzer davor, dass diese Verwundbarkeit ausgenutzt wird. Es ist fahrlässig, Sicherheits-Updates nicht einzuspielen. Leider heißt dieses Update aber nicht, dass jetzt alles sicher ist, wir werden in Zukunft weiter Patches einspielen müssen. Eigentlich müssten sich einige Dinge grundsätzlich ändern. Die Qualität von Software, selbst für so wichtige Funktionen, wie die Nachrichtenauthentifikation, ist unzureichend.“
Auf die Frage, ob es Hinweise gibt, dass es sich um eine Backdoor der NSA handeln könnte:
„Dass es sich um eine Backdoor handelt, ist Spekulation. Dennoch könnte es wahr sein. Die Snowden-Enthüllungen haben gezeigt, dass die NSA in der Vergangenheit gute Verschlüsselung nicht brechen konnte und daher Backdoors benötigte. Ein Fehler in der Authentifikation wäre jedenfalls eine sehr geeignete Backdoor, um Verschlüsselung zu umgehen. Falls es eine Geheimdienst-Backdoor war, so scheint man nicht mehr sicher zu sein, sie alleine zur Verfügung zu haben. Dann schließt man diese Backdoor natürlich.“
Alle: Keine Angaben erhalten.
Literaturstellen, die von den Expert:innen zitiert wurden
[III] National Security Agency: Cybersecurity Advisory: Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers.
Prof. Dr. Dominik Herrmann
Professor für Privatsphäre und Sicherheit in Informationssystemen, Otto-Friedrich-Universität Bamberg
Prof. Dr. Jörn Müller-Quade
Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)