Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Microsoft hat zu seinem monatlichen Patchtag am vergangenen Dienstag auch eine Warnung vor einem Xbox-Live-Zertifikat ausgegeben. Sie sei den meisten wohl entgangen, aber Microsoft habe sich da offenbar ein „peinliches Versehen geleistet“, kommentiert der unabhängige Sicherheitsberater Graham Cluley im Eset-Blog „We Live Security“.

In dem Microsoft-Advisory heißt es, die privaten Schlüssel für ein SSL/TLS-Zertifikat für *.xboxlive.com seien „versehentlich offengelegt“ worden. „Es könnte für versuchte Man-in-the-Middle-Angriffe genutzt werden.“

Diese Schlüssel würden es Kriminellen ermöglichen, sich als die Microsoft-Spiele-Domain auszugeben. Sie könnten den Spielern, die darauf zugreifen wollen, so Daten stehlen – etwa Zahlungs- und Zugangsdaten – oder Schadsoftware unterzujubeln versuchen.

Bisher gibt es Microsoft zufolge keine Anzeichen, dass das Zertifikat von Kriminellen genutzt wurde. Auch hat das Unternehmen dem fraglichen Zertifikat durch Trust-List-Updates für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 einschließlich dessen Mobilversion das Vertrauen entzogen. Ältere Windows-Versionen sind ebenfalls nicht betroffen, falls der Anwender eine automatische Aktualisierung der Liste nicht vertrauenswürdiger Zertifikate eingestellt hat. Zudem ist es Microsoft zufolge mit dem bekannt gewordenen Schlüssel nicht möglich, sich für eine andere Domain als die spezifizierte auszugeben oder Code zu signieren.

Allerdings nennt Cluley es bedenklich, dass Microsoft ein solches Sicherheitszertifikat verlieren oder versehentlich ins Netz stellen konnte. Solche Informationen müssten „so gut wie die Kronjuwelen behandelt werden“, weil man damit immensen Schaden anrichten könne.

Die Ausgabe von Zertifikaten, die nur durch vertrauenswürdige Stellen erfolgen sollte, gilt als Schwachpunkt von Public-Key-Infrastrukturen, wie sie die Online-Verschlüsselungsverfahren SSL/TLS nutzen. Im Oktober hatte beispielsweise NetCraft über die Ausgabe von SSL-Zertifikaten an Cyberkriminelle berichtet. Unter anderem stellen ihm zufolge Symantec, GoDaddy und Comodo solche Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte „betrügerische“ Zertifikate ausgegeben, die dann der Legitimierung von Phishing-Sites dienten.

Auch Google war im Frühjahr 2015 äußerst ungehalten über unberechtigt für seine chinesischen Domains ausgestellte Zertifikate. Ein ägyptisches Unternehmen hatte sie erteilt, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Sie könnten genutzt worden sein, um chinesische Google-Kunden auszuspionieren. In der Folge akzeptiert Googles Browser Chrome keine Zertifikate von CNNIC mehr.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de