Microsoft hat am ersten Patchday des Jahres nicht nur letztmalig kostenlose Sicherheitspatches für Windows 7 bereitgestellt, sondern auch eine besonders schwerwiegende Anfälligkeit in der Kryptographie-Bibliothek seines Betriebssystems beseitigt. Entdeckt wurde sie von der NSA – die erstmals einen Bug an Microsoft meldete statt ihn für eigene Zwecke zu horten.
Der eigentliche Fehler mit der Kennung CVE-2020-0601 steckt in der Bibliotheksdatei crypt32.dll, die wiederum zur Windows CryptoAPI gehört. „Es besteht ein Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI ECC-Zertifikate validiert. Demnach ist es möglich, sogenannte Elliptic-Curve-Cryptography-Zertifikate zu fälschen und damit schädliche Dateien zu signieren. Der Bug erlaubt es aber auch, digitale Zertifikate, die für die Verschlüsselung von digitaler Kommunikation benutzt wird, zu fälschen – und somit zu entschlüsseln.
„Es kommt äußerst selten, dass die US-Regierung die Entdeckung einer kritischen Schwachstelle einem IT-Anbieter mitteilt. Dies unterstreicht das Ausmaß dieser Schwachstelle. Wir fordern alle Einrichtungen dringend auf, ihre Systeme so schnell wie möglich abzusichern“, kommentiert Amit Yoran, CEO von Tenable Network Security. „Höchst ungewöhnlich ist auch, dass Microsoft der US-Regierung und anderen Kunden, die empfindliche Infrastrukturen bereitstellen, im Voraus einen Systemfix zur Verfügung gestellt hat. All das weicht eindeutig von der üblichen Praxis ab.“
Yoran weist auch auf ungeklärte Fragen im Zusammenhang mit der Offenlegung der Krypto-Lücke hin. „Wann wurde die Schwachstelle entdeckt. Wurde sie von der NSA genutzt? Was war der Auslöser für die Offenlegung durch den Anbieter?“ Die NSA erklärte lediglich, man habe sich entschlossen, den Bug zu melden, statt ihn für eigene Zwecke zu horten. Damit habe der Geheimdienst seinen allgemeinen Umgang mit Schwachstellen geändert. Die NSA kündigte zudem an, weitere Bugs offenzulegen.
Betroffen sind Windows 10, Windows Server 2019 und Windows Server 2016. Nach Angaben von Microsoft und der NSA wurden bisher keine Angriffe auf die Anfälligkeit festgestellt.
Insgesamt bringt der Januar-Patchday Fixes für 49 Schwachstellen, von denen acht als kritisch eingestuft wird. Das gilt unter anderem für zwei Lücken in Windows Server 2012 und 2016, die das Windows Remote Desktop Gateway betreffen. Ein Angreifer könnte eine RDP-Verbindung aufbauen und speziell gestaltete Pakete senden, um schließlich die vollständige Kontrolle über ein betroffenes System zu übernehmen. Da der Angriff von der Abfrage von Anmeldedaten erfolgt, wird keine Interaktion mit dem Nutzer benötigt.
Weitere Patches stehen für Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive für Android, Microsoft Office sowie die Office Service und die Office Web Apps zur Verfügung. Außerdem stecken Sicherheitslücken in den Windows-Komponenten Common Log File System Driver, Microsoft Graphics, Windows Search, Hyper-V, Windows Media, Subsystem for Linux und Windows Update Stack.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…