Microsoft: Windows ist anfällig für Verschlüsselungs-Lücke Freak

Microsoft hat bestätigt, dass auch sein Betriebssystem Windows anfällig ist für die Freak genannte Sicherheitslücke, die Man-in-the-Middle-Angriffe gegen verschlüsselte Internetverbindungen erlaubt. Davon betroffen sind alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1.

Der Fehler steckt einem Security Advisory zufolge in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel). Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen schwächeren RSA-Schlüssel mit einer Länger von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.

Microsoft weist darauf hin, dass mit Ausnahme von Windows Server 2003 die Serverbetriebssysteme in der Voreinstellung nicht anfällig sind, weil der Export von Verschlüsselungen deaktiviert ist. Ab Windows Vista lässt sich zudem über den Gruppenrichtlinien-Editor ein Workaround einrichten.

Dafür muss die Reihenfolge der SSL-Verschlüsselungssammlungen verändert werden. Sie findet sich in den Richtlinien für Lokale Computer unter Computerkonfiguration, Administrative Vorlagen, Netzwerk im Ordner SSL-Konfigurationseinstellungen. Das Advisory enthält wiederum eine neue Verschlüsselungssammlung und die zugehörige Anleitung. Windows soll anschließend Verbindungen mit den für Freak-Angriffe benutzten schwachen Schlüsseln nicht mehr unterstützen. Die Lücke an sich wird dadurch aber nicht geschlossen.

Obwohl Microsoft an der Entdeckung der Schwachstelle beteiligt war, hat es sich erst gestern Abend entschlossen, die Anfälligkeit in Windows öffentlich zu machen. „Als die Sicherheitswarnung erstmals veröffentlicht wurde, lagen Microsoft keine Hinweise vor, dass das Problem für Angriffe auf Kunden benutzt wird“, teilte der Softwarekonzern mit.

Nach Abschluss seiner Untersuchung will Microsoft weitere Maßnahmen zum Schutz seiner Kunden ergreifen. Einen Fix werde es im Rahmen eines monatlichen Patchdays oder möglicherweise auch außer der Reihe bereitstellen. Der März-Patchday findet am kommenden Dienstag statt.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und „schwächere“ Export-Produkte für Kunden in anderen Ländern vorschrieb.

Durch die Schwachstelle kann die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, kompromittiert werden. Apple und Google arbeiten bereits an einem Fix. Neben den mobilen Browsern in iOS und Android ist auch die Desktop-Version des Apple-Browsers von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome und Firefox sind hingegen immun gegen Freak. Auch der in Blackberry 10.3.1 integrierte Browser ist anfällig für Freak.

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[mit Material von Chris Duckett, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

10 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

14 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

15 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

16 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

18 Stunden ago