Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Microsoft hat zu seinem monatlichen Patchtag am vergangenen Dienstag auch eine Warnung vor einem Xbox-Live-Zertifikat ausgegeben. Sie sei den meisten wohl entgangen, aber Microsoft habe sich da offenbar ein „peinliches Versehen geleistet“, kommentiert der unabhängige Sicherheitsberater Graham Cluley im Eset-Blog „We Live Security“.

In dem Microsoft-Advisory heißt es, die privaten Schlüssel für ein SSL/TLS-Zertifikat für *.xboxlive.com seien „versehentlich offengelegt“ worden. „Es könnte für versuchte Man-in-the-Middle-Angriffe genutzt werden.“

Diese Schlüssel würden es Kriminellen ermöglichen, sich als die Microsoft-Spiele-Domain auszugeben. Sie könnten den Spielern, die darauf zugreifen wollen, so Daten stehlen – etwa Zahlungs- und Zugangsdaten – oder Schadsoftware unterzujubeln versuchen.

Bisher gibt es Microsoft zufolge keine Anzeichen, dass das Zertifikat von Kriminellen genutzt wurde. Auch hat das Unternehmen dem fraglichen Zertifikat durch Trust-List-Updates für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 einschließlich dessen Mobilversion das Vertrauen entzogen. Ältere Windows-Versionen sind ebenfalls nicht betroffen, falls der Anwender eine automatische Aktualisierung der Liste nicht vertrauenswürdiger Zertifikate eingestellt hat. Zudem ist es Microsoft zufolge mit dem bekannt gewordenen Schlüssel nicht möglich, sich für eine andere Domain als die spezifizierte auszugeben oder Code zu signieren.

Allerdings nennt Cluley es bedenklich, dass Microsoft ein solches Sicherheitszertifikat verlieren oder versehentlich ins Netz stellen konnte. Solche Informationen müssten „so gut wie die Kronjuwelen behandelt werden“, weil man damit immensen Schaden anrichten könne.

Die Ausgabe von Zertifikaten, die nur durch vertrauenswürdige Stellen erfolgen sollte, gilt als Schwachpunkt von Public-Key-Infrastrukturen, wie sie die Online-Verschlüsselungsverfahren SSL/TLS nutzen. Im Oktober hatte beispielsweise NetCraft über die Ausgabe von SSL-Zertifikaten an Cyberkriminelle berichtet. Unter anderem stellen ihm zufolge Symantec, GoDaddy und Comodo solche Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte „betrügerische“ Zertifikate ausgegeben, die dann der Legitimierung von Phishing-Sites dienten.

Auch Google war im Frühjahr 2015 äußerst ungehalten über unberechtigt für seine chinesischen Domains ausgestellte Zertifikate. Ein ägyptisches Unternehmen hatte sie erteilt, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Sie könnten genutzt worden sein, um chinesische Google-Kunden auszuspionieren. In der Folge akzeptiert Googles Browser Chrome keine Zertifikate von CNNIC mehr.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago