Microsoft hat vor einem gefälschten SSL-Zertifikat für seine finnische Live-Domain (live.fi) gewarnt. Es könnte für Man-in-the-Middle-Angriffe auf jede Windows-Version benutzt werden. Das von Comodo ausgestellte Zertifikat wurde zwar bereits zurückgezogen, nach Angaben von Sicherheitsforschern ist damit aber noch nicht ausgeschlossen, dass Hacker es für kriminelle Zwecke nutzen.
Die meisten Browser, darunter auch Microsofts Internet Explorer, greifen auf eine eigene Liste mit gesperrten Zertifikaten zurück, um Nutzer vor solchen Angriffen zu schützen. Diese Liste hat Microsoft nun aktualisiert. Windows 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows Phone 8 und 8.1 erhalten den Patch automatisch – Nutzer dieser Betriebssysteme müssen laut Microsoft keine Maßnahmen ergreifen.
Laut Computerworld wird der Patch auch automatisch an Windows Vista, Server 2008, 7 und Server 2008 R2 verteilt, sobald die 2014 veröffentlichten Updates KB2677070 und KB2813430 installiert wurden. Nutzer ohne diese Updates oder Kunden, die noch Windows Server 2003 einsetzen, können den Patch KB2917500 herunterladen.
„Microsoft hat von einem missbräuchlich ausgestellten SSL-Zertifikat für die Domain ‚live.fi‘ erfahren, das benutzt werden könnte, um Inhalte zu fälschen oder Man-in-the-Middle-Attacken auszuführen“, heißt es in Microsofts Advisory. „Es kann nicht verwendet werden, um andere Zertifikate auszustellen oder Code zu signieren. Microsoft sind derzeit keine Angriffe in Bezug auf dieses Problem bekannt.“
Nach Unternehmensangaben wurde das fragliche Zertifikat mithilfe eines „falsch konfigurierten privilegierten E-Mail-Kontos“ ausgestellt. Laut Comodo handelt es sich dabei normalerweise um ein Konto, das mit „admin“, „administrator“, „postmaster“, „hostmaster“ oder „webmaster“ beginnt.
Der Vorfall zeigt eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffic benutzt wird: Es ist wesentlich einfacher, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Ein Problem ist, dass viele Browser ein Zertifikat, dessen Gültigkeit nicht überprüft werden kann, als vertrauenswürdig einstufen. Sicherheitsforscher haben gezeigt, dass Angriffe mit ungültigen Zertifikaten ausgeführt werden können, indem die Meldung unterdrückt wird, die dem Browser signalisiert, dass ein Zertifikat zurückgezogen wurde.
[mit Material von Matthew Broersma, TechWeekEurope]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
1 Kommentar zu Microsoft warnt vor gefälschtem SSL-Zertifikat
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie sich herausstellt wurde das Certifikat von einen Finnischen It-ler gefälscht als test. Er hatte auch versucht Microsoft zu informieren aber ist nur auf taube ohre gestoßen.
Lg Piet