Microsoft-Patchday: NSA warnt vor kritischer Windows-Lücke

Microsoft hat am ersten Patchday des Jahres nicht nur letztmalig kostenlose Sicherheitspatches für Windows 7 bereitgestellt, sondern auch eine besonders schwerwiegende Anfälligkeit in der Kryptographie-Bibliothek seines Betriebssystems beseitigt. Entdeckt wurde sie von der NSA – die erstmals einen Bug an Microsoft meldete statt ihn für eigene Zwecke zu horten.

Erste Details zu der Schwachstelle waren bereits am Montag durchgesickert. Einem Bericht des Sicherheitsexperten Brian Krebs zufolge sollen die Auswirkungen von Angriffen auf die Schwachstelle können so gravierend sein, dass Microsoft vorab bereits Patches an das US-Militär und Betreiber kritischer Infrastrukturen verteilte. Die NSA bestätigte indes lediglich, Betreiber kritischer Infrastrukturen vor dem Patchday über das anstehende Update informiert zu haben.

Der eigentliche Fehler mit der Kennung CVE-2020-0601 steckt in der Bibliotheksdatei crypt32.dll, die wiederum zur Windows CryptoAPI gehört. „Es besteht ein Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI ECC-Zertifikate validiert. Demnach ist es möglich, sogenannte Elliptic-Curve-Cryptography-Zertifikate zu fälschen und damit schädliche Dateien zu signieren. Der Bug erlaubt es aber auch, digitale Zertifikate, die für die Verschlüsselung von digitaler Kommunikation benutzt wird, zu fälschen – und somit zu entschlüsseln.

„Es kommt äußerst selten, dass die US-Regierung die Entdeckung einer kritischen Schwachstelle einem IT-Anbieter mitteilt. Dies unterstreicht das Ausmaß dieser Schwachstelle. Wir fordern alle Einrichtungen dringend auf, ihre Systeme so schnell wie möglich abzusichern“, kommentiert Amit Yoran, CEO von Tenable Network Security. „Höchst ungewöhnlich ist auch, dass Microsoft der US-Regierung und anderen Kunden, die empfindliche Infrastrukturen bereitstellen, im Voraus einen Systemfix zur Verfügung gestellt hat. All das weicht eindeutig von der üblichen Praxis ab.“

Yoran weist auch auf ungeklärte Fragen im Zusammenhang mit der Offenlegung der Krypto-Lücke hin. „Wann wurde die Schwachstelle entdeckt. Wurde sie von der NSA genutzt? Was war der Auslöser für die Offenlegung durch den Anbieter?“ Die NSA erklärte lediglich, man habe sich entschlossen, den Bug zu melden, statt ihn für eigene Zwecke zu horten. Damit habe der Geheimdienst seinen allgemeinen Umgang mit Schwachstellen geändert. Die NSA kündigte zudem an, weitere Bugs offenzulegen.

Betroffen sind Windows 10, Windows Server 2019 und Windows Server 2016. Nach Angaben von Microsoft und der NSA wurden bisher keine Angriffe auf die Anfälligkeit festgestellt.

Insgesamt bringt der Januar-Patchday Fixes für 49 Schwachstellen, von denen acht als kritisch eingestuft wird. Das gilt unter anderem für zwei Lücken in Windows Server 2012 und 2016, die das Windows Remote Desktop Gateway betreffen. Ein Angreifer könnte eine RDP-Verbindung aufbauen und speziell gestaltete Pakete senden, um schließlich die vollständige Kontrolle über ein betroffenes System zu übernehmen. Da der Angriff von der Abfrage von Anmeldedaten erfolgt, wird keine Interaktion mit dem Nutzer benötigt.

Weitere Patches stehen für Internet Explorer, ASP.NET, .NET Framework, Microsoft Dynamics, OneDrive für Android, Microsoft Office sowie die Office Service und die Office Web Apps zur Verfügung. Außerdem stecken Sicherheitslücken in den Windows-Komponenten Common Log File System Driver, Microsoft Graphics, Windows Search, Hyper-V, Windows Media, Subsystem for Linux und Windows Update Stack.