Microsoft-Patchday: NSA warnt vor kritischer Windows-Lücke

Microsoft hat am ersten Patchday des Jahres nicht nur letztmalig kostenlose Sicherheitspatches für Windows 7 bereitgestellt, sondern auch eine besonders schwerwiegende Anfälligkeit in der Kryptographie-Bibliothek seines Betriebssystems beseitigt. Entdeckt wurde sie von der NSA – die erstmals einen Bug an Microsoft meldete statt ihn für eigene Zwecke zu horten.

Erste Details zu der Schwachstelle waren bereits am Montag durchgesickert. Einem Bericht des Sicherheitsexperten Brian Krebs zufolge sollen die Auswirkungen von Angriffen auf die Schwachstelle können so gravierend sein, dass Microsoft vorab bereits Patches an das US-Militär und Betreiber kritischer Infrastrukturen verteilte. Die NSA bestätigte indes lediglich, Betreiber kritischer Infrastrukturen vor dem Patchday über das anstehende Update informiert zu haben.

Der eigentliche Fehler mit der Kennung CVE-2020-0601 steckt in der Bibliotheksdatei crypt32.dll, die wiederum zur Windows CryptoAPI gehört. „Es besteht ein Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI ECC-Zertifikate validiert. Demnach ist es möglich, sogenannte Elliptic-Curve-Cryptography-Zertifikate zu fälschen und damit schädliche Dateien zu signieren. Der Bug erlaubt es aber auch, digitale Zertifikate, die für die Verschlüsselung von digitaler Kommunikation benutzt wird, zu fälschen – und somit zu entschlüsseln.

„Es kommt äußerst selten, dass die US-Regierung die Entdeckung einer kritischen Schwachstelle einem IT-Anbieter mitteilt. Dies unterstreicht das Ausmaß dieser Schwachstelle. Wir fordern alle Einrichtungen dringend auf, ihre Systeme so schnell wie möglich abzusichern“, kommentiert Amit Yoran, CEO von Tenable Network Security. „Höchst ungewöhnlich ist auch, dass Microsoft der US-Regierung und anderen Kunden, die empfindliche Infrastrukturen bereitstellen, im Voraus einen Systemfix zur Verfügung gestellt hat. All das weicht eindeutig von der üblichen Praxis ab.“

Yoran weist auch auf ungeklärte Fragen im Zusammenhang mit der Offenlegung der Krypto-Lücke hin. „Wann wurde die Schwachstelle entdeckt. Wurde sie von der NSA genutzt? Was war der Auslöser für die Offenlegung durch den Anbieter?“ Die NSA erklärte lediglich, man habe sich entschlossen, den Bug zu melden, statt ihn für eigene Zwecke zu horten. Damit habe der Geheimdienst seinen allgemeinen Umgang mit Schwachstellen geändert. Die NSA kündigte zudem an, weitere Bugs offenzulegen.

Betroffen sind Windows 10, Windows Server 2019 und Windows Server 2016. Nach Angaben von Microsoft und der NSA wurden bisher keine Angriffe auf die Anfälligkeit festgestellt.

Insgesamt bringt der Januar-Patchday Fixes für 49 Schwachstellen, von denen acht als kritisch eingestuft wird. Das gilt unter anderem für zwei Lücken in Windows Server 2012 und 2016, die das Windows Remote Desktop Gateway betreffen. Ein Angreifer könnte eine RDP-Verbindung aufbauen und speziell gestaltete Pakete senden, um schließlich die vollständige Kontrolle über ein betroffenes System zu übernehmen. Da der Angriff von der Abfrage von Anmeldedaten erfolgt, wird keine Interaktion mit dem Nutzer benötigt.

Weitere Patches stehen für Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive für Android, Microsoft Office sowie die Office Service und die Office Web Apps zur Verfügung. Außerdem stecken Sicherheitslücken in den Windows-Komponenten Common Log File System Driver, Microsoft Graphics, Windows Search, Hyper-V, Windows Media, Subsystem for Linux und Windows Update Stack.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago