Windows Defender löscht Superfish [UPDATE]

Die aktualisierte Fasssung des in Windows integrierten Anti-Malware-Tools Defender löscht die auf Lenovo-Notebooks installierte Adware Superfish und das dazugehörige Stammzertifikat. Firefox-Anwender müssen allerdings das Zertifikat aufgrund der im Mozilla-Browser integrierten Zertifikatsverwaltung manuell löschen oder zum inwischen von Lenovo veröffentlichten Uninstall-Tool greifen. Der Hersteller hat außerdem eine manuelle Deinstallationsanleitung veröffentlicht.

Lenovo hat sich inzwischen für die Installation des Adware-Tools entschuldigt. Allerdings bestreitet das Unternehmen, von der durch Superfish und dem dazugeörigen Stammzertifikat verursachten Sicherheitsbedrohung gewusst zu haben. Inzwischen ist ihm aber offenbar die Problematik bewusst und warnt nun selbst vor dem Programm. Auch das US-Cert hat inzwischen eine Warnung zu Superfish herausgegeben. Zuvor hatte Lenovos Chief Technology Officer Peter Hortensius im Gespräch mit dem Wall Street Journal zwar eingerämt, dass Lenovo die auf seinen Notebooks zwischen September und Dezember 2014 vorinstallierte Adware nicht sorgfältig genug geprüft hatte. Von einem Sicherheitsprblem wollte er aber nichts wissen. “Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen.” Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: “Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.”

Diese und ähnliche Sätze sind in der offiziellen Stellungnahme inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.

Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko. Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. “Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte”, schreibt er in einem Blogeintrag. Dem stimmt Sicherheitsexperte Graham Cluley zu. “Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können. Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.” Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.

“Damit ist das System ab Werk kompromittiert und als trojanisiert zu betrachten”, stellt der Berliner Informatiker Kristian Köhntopp auf seiner Google+-Seite fest. Das Problem betrifft sowohl Microsofts Internet Explorer als auch Googles Chrome auf Windows-Systemen. Firefox ist offenbar nicht betroffen, da es einen eigenen Zertifikatsspeicher einsetzt.

Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.

UPDATE 23.2.

Wie ZDNet-Autor Ed Bott auf Nachfrage von Windows-Spezialist Günther Born bestätigt, löscht Windows Defender das Stammzertifikat von Superfish nur, wenn es zuvor die Software-Komponente gefunden hat. Wurde diese bereits deinstalliert, dann bleibt das Stammzertifikat erhalten. Bott hat dies in einem Test nachgewiesen. Ihm wurde die Superfish-Software von einem Sicherheitsforscher zur Verfügung gestellt.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago