Microsoft hat vor einem gefälschten SSL-Zertifikat für seine finnische Live-Domain (live.fi) gewarnt. Es könnte für Man-in-the-Middle-Angriffe auf jede Windows-Version benutzt werden. Das von Comodo ausgestellte Zertifikat wurde zwar bereits zurückgezogen, nach Angaben von Sicherheitsforschern ist damit aber noch nicht ausgeschlossen, dass Hacker es für kriminelle Zwecke nutzen.
Die meisten Browser, darunter auch Microsofts Internet Explorer, greifen auf eine eigene Liste mit gesperrten Zertifikaten zurück, um Nutzer vor solchen Angriffen zu schützen. Diese Liste hat Microsoft nun aktualisiert. Windows 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows Phone 8 und 8.1 erhalten den Patch automatisch – Nutzer dieser Betriebssysteme müssen laut Microsoft keine Maßnahmen ergreifen.
Laut Computerworld wird der Patch auch automatisch an Windows Vista, Server 2008, 7 und Server 2008 R2 verteilt, sobald die 2014 veröffentlichten Updates KB2677070 und KB2813430 installiert wurden. Nutzer ohne diese Updates oder Kunden, die noch Windows Server 2003 einsetzen, können den Patch KB2917500 herunterladen.
„Microsoft hat von einem missbräuchlich ausgestellten SSL-Zertifikat für die Domain ‚live.fi‘ erfahren, das benutzt werden könnte, um Inhalte zu fälschen oder Man-in-the-Middle-Attacken auszuführen“, heißt es in Microsofts Advisory. „Es kann nicht verwendet werden, um andere Zertifikate auszustellen oder Code zu signieren. Microsoft sind derzeit keine Angriffe in Bezug auf dieses Problem bekannt.“
Nach Unternehmensangaben wurde das fragliche Zertifikat mithilfe eines „falsch konfigurierten privilegierten E-Mail-Kontos“ ausgestellt. Laut Comodo handelt es sich dabei normalerweise um ein Konto, das mit „admin“, „administrator“, „postmaster“, „hostmaster“ oder „webmaster“ beginnt.
Der Vorfall zeigt eine Schwäche des SSL-Systems, das für die Verschlüsselung des Internet-Traffic benutzt wird: Es ist wesentlich einfacher, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.
Ein Problem ist, dass viele Browser ein Zertifikat, dessen Gültigkeit nicht überprüft werden kann, als vertrauenswürdig einstufen. Sicherheitsforscher haben gezeigt, dass Angriffe mit ungültigen Zertifikaten ausgeführt werden können, indem die Meldung unterdrückt wird, die dem Browser signalisiert, dass ein Zertifikat zurückgezogen wurde.
[mit Material von Matthew Broersma, TechWeekEurope]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…