Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Microsoft hat zu seinem monatlichen Patchtag am vergangenen Dienstag auch eine Warnung vor einem Xbox-Live-Zertifikat ausgegeben. Sie sei den meisten wohl entgangen, aber Microsoft habe sich da offenbar ein „peinliches Versehen geleistet“, kommentiert der unabhängige Sicherheitsberater Graham Cluley im Eset-Blog „We Live Security“.

In dem Microsoft-Advisory heißt es, die privaten Schlüssel für ein SSL/TLS-Zertifikat für *.xboxlive.com seien „versehentlich offengelegt“ worden. „Es könnte für versuchte Man-in-the-Middle-Angriffe genutzt werden.“

Diese Schlüssel würden es Kriminellen ermöglichen, sich als die Microsoft-Spiele-Domain auszugeben. Sie könnten den Spielern, die darauf zugreifen wollen, so Daten stehlen – etwa Zahlungs- und Zugangsdaten – oder Schadsoftware unterzujubeln versuchen.

Bisher gibt es Microsoft zufolge keine Anzeichen, dass das Zertifikat von Kriminellen genutzt wurde. Auch hat das Unternehmen dem fraglichen Zertifikat durch Trust-List-Updates für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 einschließlich dessen Mobilversion das Vertrauen entzogen. Ältere Windows-Versionen sind ebenfalls nicht betroffen, falls der Anwender eine automatische Aktualisierung der Liste nicht vertrauenswürdiger Zertifikate eingestellt hat. Zudem ist es Microsoft zufolge mit dem bekannt gewordenen Schlüssel nicht möglich, sich für eine andere Domain als die spezifizierte auszugeben oder Code zu signieren.

Allerdings nennt Cluley es bedenklich, dass Microsoft ein solches Sicherheitszertifikat verlieren oder versehentlich ins Netz stellen konnte. Solche Informationen müssten „so gut wie die Kronjuwelen behandelt werden“, weil man damit immensen Schaden anrichten könne.

Die Ausgabe von Zertifikaten, die nur durch vertrauenswürdige Stellen erfolgen sollte, gilt als Schwachpunkt von Public-Key-Infrastrukturen, wie sie die Online-Verschlüsselungsverfahren SSL/TLS nutzen. Im Oktober hatte beispielsweise NetCraft über die Ausgabe von SSL-Zertifikaten an Cyberkriminelle berichtet. Unter anderem stellen ihm zufolge Symantec, GoDaddy und Comodo solche Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte „betrügerische“ Zertifikate ausgegeben, die dann der Legitimierung von Phishing-Sites dienten.

Auch Google war im Frühjahr 2015 äußerst ungehalten über unberechtigt für seine chinesischen Domains ausgestellte Zertifikate. Ein ägyptisches Unternehmen hatte sie erteilt, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Sie könnten genutzt worden sein, um chinesische Google-Kunden auszuspionieren. In der Folge akzeptiert Googles Browser Chrome keine Zertifikate von CNNIC mehr.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago