Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Microsoft hat zu seinem monatlichen Patchtag am vergangenen Dienstag auch eine Warnung vor einem Xbox-Live-Zertifikat ausgegeben. Sie sei den meisten wohl entgangen, aber Microsoft habe sich da offenbar ein „peinliches Versehen geleistet“, kommentiert der unabhängige Sicherheitsberater Graham Cluley im Eset-Blog „We Live Security“.

In dem Microsoft-Advisory heißt es, die privaten Schlüssel für ein SSL/TLS-Zertifikat für *.xboxlive.com seien „versehentlich offengelegt“ worden. „Es könnte für versuchte Man-in-the-Middle-Angriffe genutzt werden.“

Diese Schlüssel würden es Kriminellen ermöglichen, sich als die Microsoft-Spiele-Domain auszugeben. Sie könnten den Spielern, die darauf zugreifen wollen, so Daten stehlen – etwa Zahlungs- und Zugangsdaten – oder Schadsoftware unterzujubeln versuchen.

Bisher gibt es Microsoft zufolge keine Anzeichen, dass das Zertifikat von Kriminellen genutzt wurde. Auch hat das Unternehmen dem fraglichen Zertifikat durch Trust-List-Updates für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 einschließlich dessen Mobilversion das Vertrauen entzogen. Ältere Windows-Versionen sind ebenfalls nicht betroffen, falls der Anwender eine automatische Aktualisierung der Liste nicht vertrauenswürdiger Zertifikate eingestellt hat. Zudem ist es Microsoft zufolge mit dem bekannt gewordenen Schlüssel nicht möglich, sich für eine andere Domain als die spezifizierte auszugeben oder Code zu signieren.

Allerdings nennt Cluley es bedenklich, dass Microsoft ein solches Sicherheitszertifikat verlieren oder versehentlich ins Netz stellen konnte. Solche Informationen müssten „so gut wie die Kronjuwelen behandelt werden“, weil man damit immensen Schaden anrichten könne.

Die Ausgabe von Zertifikaten, die nur durch vertrauenswürdige Stellen erfolgen sollte, gilt als Schwachpunkt von Public-Key-Infrastrukturen, wie sie die Online-Verschlüsselungsverfahren SSL/TLS nutzen. Im Oktober hatte beispielsweise NetCraft über die Ausgabe von SSL-Zertifikaten an Cyberkriminelle berichtet. Unter anderem stellen ihm zufolge Symantec, GoDaddy und Comodo solche Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte „betrügerische“ Zertifikate ausgegeben, die dann der Legitimierung von Phishing-Sites dienten.

Auch Google war im Frühjahr 2015 äußerst ungehalten über unberechtigt für seine chinesischen Domains ausgestellte Zertifikate. Ein ägyptisches Unternehmen hatte sie erteilt, autorisiert durch die chinesische Zertifizierungsstelle CNNIC. Sie könnten genutzt worden sein, um chinesische Google-Kunden auszuspionieren. In der Folge akzeptiert Googles Browser Chrome keine Zertifikate von CNNIC mehr.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago