Microsoft-Patchday: NSA warnt vor kritischer Windows-Lücke

Microsoft hat am ersten Patchday des Jahres nicht nur letztmalig kostenlose Sicherheitspatches für Windows 7 bereitgestellt, sondern auch eine besonders schwerwiegende Anfälligkeit in der Kryptographie-Bibliothek seines Betriebssystems beseitigt. Entdeckt wurde sie von der NSA – die erstmals einen Bug an Microsoft meldete statt ihn für eigene Zwecke zu horten.

Erste Details zu der Schwachstelle waren bereits am Montag durchgesickert. Einem Bericht des Sicherheitsexperten Brian Krebs zufolge sollen die Auswirkungen von Angriffen auf die Schwachstelle können so gravierend sein, dass Microsoft vorab bereits Patches an das US-Militär und Betreiber kritischer Infrastrukturen verteilte. Die NSA bestätigte indes lediglich, Betreiber kritischer Infrastrukturen vor dem Patchday über das anstehende Update informiert zu haben.

Der eigentliche Fehler mit der Kennung CVE-2020-0601 steckt in der Bibliotheksdatei crypt32.dll, die wiederum zur Windows CryptoAPI gehört. „Es besteht ein Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI ECC-Zertifikate validiert. Demnach ist es möglich, sogenannte Elliptic-Curve-Cryptography-Zertifikate zu fälschen und damit schädliche Dateien zu signieren. Der Bug erlaubt es aber auch, digitale Zertifikate, die für die Verschlüsselung von digitaler Kommunikation benutzt wird, zu fälschen – und somit zu entschlüsseln.

„Es kommt äußerst selten, dass die US-Regierung die Entdeckung einer kritischen Schwachstelle einem IT-Anbieter mitteilt. Dies unterstreicht das Ausmaß dieser Schwachstelle. Wir fordern alle Einrichtungen dringend auf, ihre Systeme so schnell wie möglich abzusichern“, kommentiert Amit Yoran, CEO von Tenable Network Security. „Höchst ungewöhnlich ist auch, dass Microsoft der US-Regierung und anderen Kunden, die empfindliche Infrastrukturen bereitstellen, im Voraus einen Systemfix zur Verfügung gestellt hat. All das weicht eindeutig von der üblichen Praxis ab.“

Yoran weist auch auf ungeklärte Fragen im Zusammenhang mit der Offenlegung der Krypto-Lücke hin. „Wann wurde die Schwachstelle entdeckt. Wurde sie von der NSA genutzt? Was war der Auslöser für die Offenlegung durch den Anbieter?“ Die NSA erklärte lediglich, man habe sich entschlossen, den Bug zu melden, statt ihn für eigene Zwecke zu horten. Damit habe der Geheimdienst seinen allgemeinen Umgang mit Schwachstellen geändert. Die NSA kündigte zudem an, weitere Bugs offenzulegen.

Betroffen sind Windows 10, Windows Server 2019 und Windows Server 2016. Nach Angaben von Microsoft und der NSA wurden bisher keine Angriffe auf die Anfälligkeit festgestellt.

Insgesamt bringt der Januar-Patchday Fixes für 49 Schwachstellen, von denen acht als kritisch eingestuft wird. Das gilt unter anderem für zwei Lücken in Windows Server 2012 und 2016, die das Windows Remote Desktop Gateway betreffen. Ein Angreifer könnte eine RDP-Verbindung aufbauen und speziell gestaltete Pakete senden, um schließlich die vollständige Kontrolle über ein betroffenes System zu übernehmen. Da der Angriff von der Abfrage von Anmeldedaten erfolgt, wird keine Interaktion mit dem Nutzer benötigt.

Weitere Patches stehen für Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive für Android, Microsoft Office sowie die Office Service und die Office Web Apps zur Verfügung. Außerdem stecken Sicherheitslücken in den Windows-Komponenten Common Log File System Driver, Microsoft Graphics, Windows Search, Hyper-V, Windows Media, Subsystem for Linux und Windows Update Stack.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago