Microsoft hat zu seinem monatlichen Patchtag am vergangenen Dienstag auch eine Warnung vor einem Xbox-Live-Zertifikat ausgegeben. Sie sei den meisten wohl entgangen, aber Microsoft habe sich da offenbar ein „peinliches Versehen geleistet“, kommentiert der unabhängige Sicherheitsberater Graham Cluley im Eset-Blog „We Live Security“.
Diese Schlüssel würden es Kriminellen ermöglichen, sich als die Microsoft-Spiele-Domain auszugeben. Sie könnten den Spielern, die darauf zugreifen wollen, so Daten stehlen – etwa Zahlungs- und Zugangsdaten – oder Schadsoftware unterzujubeln versuchen.
Bisher gibt es Microsoft zufolge keine Anzeichen, dass das Zertifikat von Kriminellen genutzt wurde. Auch hat das Unternehmen dem fraglichen Zertifikat durch Trust-List-Updates für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 einschließlich dessen Mobilversion das Vertrauen entzogen. Ältere Windows-Versionen sind ebenfalls nicht betroffen, falls der Anwender eine automatische Aktualisierung der Liste nicht vertrauenswürdiger Zertifikate eingestellt hat. Zudem ist es Microsoft zufolge mit dem bekannt gewordenen Schlüssel nicht möglich, sich für eine andere Domain als die spezifizierte auszugeben oder Code zu signieren.
Allerdings nennt Cluley es bedenklich, dass Microsoft ein solches Sicherheitszertifikat verlieren oder versehentlich ins Netz stellen konnte. Solche Informationen müssten „so gut wie die Kronjuwelen behandelt werden“, weil man damit immensen Schaden anrichten könne.
Die Ausgabe von Zertifikaten, die nur durch vertrauenswürdige Stellen erfolgen sollte, gilt als Schwachpunkt von Public-Key-Infrastrukturen, wie sie die Online-Verschlüsselungsverfahren SSL/TLS nutzen. Im Oktober hatte beispielsweise NetCraft über die Ausgabe von SSL-Zertifikaten an Cyberkriminelle berichtet. Unter anderem stellen ihm zufolge Symantec, GoDaddy und Comodo solche Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte „betrügerische“ Zertifikate ausgegeben, die dann der Legitimierung von Phishing-Sites dienten.
Auch Google war im Frühjahr 2015 äußerst ungehalten über unberechtigt für seine chinesischen Domains ausgestellte Zertifikate. Ein ägyptisches Unternehmen hatte sie erteilt, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Sie könnten genutzt worden sein, um chinesische Google-Kunden auszuspionieren. In der Folge akzeptiert Googles Browser Chrome keine Zertifikate von CNNIC mehr.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…