Microsoft hat vor einem gefälschten SSL-Zertifikat für seine finnische Live-Domain (live.fi) gewarnt. Es könnte für Man-in-the-Middle-Angriffe auf jede Windows-Version benutzt werden. Das von Comodo ausgestellte Zertifikat wurde zwar bereits zurückgezogen, nach Angaben von Sicherheitsforschern ist damit aber noch nicht ausgeschlossen, dass Hacker es für kriminelle Zwecke nutzen.
Die meisten Browser, darunter auch Microsofts Internet Explorer, greifen auf eine eigene Liste mit gesperrten Zertifikaten zurück, um Nutzer vor solchen Angriffen zu schützen. Diese Liste hat Microsoft nun aktualisiert. Windows 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows Phone 8 und 8.1 erhalten den Patch automatisch – Nutzer dieser Betriebssysteme müssen laut Microsoft keine Maßnahmen ergreifen.
Laut Computerworld wird der Patch auch automatisch an Windows Vista, Server 2008, 7 und Server 2008 R2 verteilt, sobald die 2014 veröffentlichten Updates KB2677070 und KB2813430 installiert wurden. Nutzer ohne diese Updates oder Kunden, die noch Windows Server 2003 einsetzen, können den Patch KB2917500 herunterladen.
„Microsoft hat von einem missbräuchlich ausgestellten SSL-Zertifikat für die Domain ‚live.fi‘ erfahren, das benutzt werden könnte, um Inhalte zu fälschen oder Man-in-the-Middle-Attacken auszuführen“, heißt es in Microsofts Advisory. „Es kann nicht verwendet werden, um andere Zertifikate auszustellen oder Code zu signieren. Microsoft sind derzeit keine Angriffe in Bezug auf dieses Problem bekannt.“
Nach Unternehmensangaben wurde das fragliche Zertifikat mithilfe eines „falsch konfigurierten privilegierten E-Mail-Kontos“ ausgestellt. Laut Comodo handelt es sich dabei normalerweise um ein Konto, das mit „admin“, „administrator“, „postmaster“, „hostmaster“ oder „webmaster“ beginnt.
Der Vorfall zeigt eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffic benutzt wird: Es ist wesentlich einfacher, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Ein Problem ist, dass viele Browser ein Zertifikat, dessen Gültigkeit nicht überprüft werden kann, als vertrauenswürdig einstufen. Sicherheitsforscher haben gezeigt, dass Angriffe mit ungültigen Zertifikaten ausgeführt werden können, indem die Meldung unterdrückt wird, die dem Browser signalisiert, dass ein Zertifikat zurückgezogen wurde.
[mit Material von Matthew Broersma, TechWeekEurope]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der digitale Wandel hat die Art und Weise verändert, wie Verbraucherrechte gehandhabt werden. Insbesondere in…
Chrome speichert Passkeys nun auch unter Windows, macOS und Linux im Google Passwortmanager. Dadurch stehen…
In einem klimatisierten Büro mag ein herkömmlicher Laptop großartig sein, aber was passiert, wenn der…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…