Microsofts Internet Explorer ist entgegen ersten Tests doch anfällig für die Sicherheitslücke Freak. Der Name Freak steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb. Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria.
Laut Microsoft sind alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1. Der Fehler steckt einem Security Advisory zufolge in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel). Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen schwächeren RSA-Schlüssel mit einer Länger von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.
Das lässt sich aber verhindern. Wie Microsoft mitteilt, kann man bis zur Veröffentlichung eines Patches, der vermutlich in Kürze erscheinen wird, Windows-Versionen ab Vista gegen Freak absichern. Hierfür muss man lediglich mit dem Editor gpedit für Gruppenrichtlinien die Reihenfolge der SSL-Verschlüsselungssammlungen ändern. Nach dem Start von gpedit navigiert man in Computerkonfigurationen – Adminsitrative Vorlagen – Netzwerk – SSL-Konfigurationseinstellungen. Anschließend öffnet man mit einem Doppelklick „Reihenfolge der SSL-Verschlüsselungssammlungen“. Danach fügt man im Feld Verschlüsselungssammlungen die von Microsoft veröffentlichten Verschlüsselungssammlungen hinzu. Diese müssen sich allerdings in einer Zeile befinden und bis auf den letzten durch ein Komma getrennt sein.
Hierfür geht man wie folgt vor:
Die Einstellungen aktiviert man mit einem Klick auf die entsprechende Option. Nach einem Neustart ist Windows gegenüber Freak nicht mehr anfällig.
[UPDATE 7.3. 13.12 Uhr]
Offenbar bleibt der von Microsoft empfohlene Workaround nicht ohne unerwünschte Nebenwirkungen. So funktioniert nach der Anpassung der SSL-Verschlüsselungssammlungen Windows Update nicht mehr. Außerdem klappt die Verbindung zu einigen SSL-verschlüsselten Seiten wie Banken oder E-Mail-Diensten nicht mehr. Sollten diese Schwierigkeiten auftreten, kann man durch Deaktivierung von „Reihenfolge der SSL-Verschlüsselungssammlungen“ den ursprünglichen Zusatad wiederherstellen. Dadurch ist Windows alledings wieder anfälli für die Freak-Lücke. Diese schätzen allerdings einige Sicherheitsspezialisten als nicht besonders gravierend ein. So meint Gavin Millard von Tenable Network Security, dass die Gefahr durch die von französischen Forschen entdeckte Sicherheitslücke Freak als nicht besonders hoch ein. Im Vergleich zu Heartbleed sei sie weniger gravierend, da ein Angriff wie zuvor bei Poodle nur sehr schwer zu bewerkstelligen sei. Hacker müssten zahlreiche Schritte durchführen, um Freak ausnutzen zu können.
Neueste Kommentare
6 Kommentare zu Praxis: Windows gegen Freak absichern [Update]
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Nach Windows Update Session, welche KB3046049 enthielt, meldet freakattack.com nun endlich:
„Good News! Your browser appears to be safe from the FREAK attack.“
Good News – Good Night!
Mittlerweile verteilt Microsoft via Windows Update KB3046049 den nötigen Patch.
Wird derzeit installiert…
Das Dumme ist nur, dass wenn man dies befolgt, Windows Update nicht mehr funktioniert, ebenso wenig wie der Login bei Web.de per HTTPS.
Danke für den Hinweis. Ich habe den Artikel entsprechend ergänzt. Welche Windows-Version nutzen Sie?
Das ist Windows 8.1 Pro 64bit, mit installiertem EMET 5.1 (Maximum Security Settings).
Also wenn ich das jetzt richtig beim lesen zwischen den Zeilen verstanden habe, ist nicht erst ab 2003 sondern auch unter 2003 betroffen, oder ?
Das Wortpuzzle „auf anraten der .. Regierung sollte ein mitbelauschbarer Schlüssel sorry heißt ja Export eingearbeitet werden …
Naja aus den Socken haut es mich ehrlich gesagt nicht, mein Spatzenhirn kann eh das loch an loch prinzip für eine Software welche man käuflich erwerben muss nicht nach vollziehen. Denn bei Freeware oder Opensource Software nimmt man es stillschweigend in kauf, und bei … sponsert man für die alten Löcher, welche längst bekannt waren