Verunsicherung durch Windows-Lücken

  • Wie so oft macht Microsoft mal wieder durch diverse Sicherheitslöcher in Betriebssystemen und Peripherie (IE) von sich reden. Zu den aktuellen Bugs hat MS neue Patchs/Updates online. Diese in Deutsch gehaltene Seite stellt mal ein Novum in der Informationspolitik von Microsoft dar, auch ich bewerte diesen Link als positiv und Laien verständlich. Im Anschluss an den Artikel soll deshalb auch der DL-Link genannt werden. Quelle der Infos ist Heise.de und Microsoft. Nach der Veröffentlichung der Sicherheitslöcher in Windows und dieses Mal recht schlagzeilenträchtiger Berichterstattung in den normalen Medien sind weltweit Benutzer über die möglichen Risiken für den eigenen PC verunsichert. Grund für die Hysterie ist unter anderem eine Äußerung des für Sicherheitsfragen zuständigen Microsoft-Managers Stephen Toulouse, die in der PR von Sicherheitsfirmen und in deren Folge dann in der internationalen und der deutschen Presse mit aufgegriffen wurde; aber selbst die Süddeutsche Zeitung sprach von einer "Lücke wie ein Scheunentor". Toulouse erklärte zu dem Sicherheitsleck, es handele sich um ein ausgesprochen tiefes und umfassendes Problem. Marc Maiffret von eEye, Entdecker der Sicherheitslücken, setzte sogar noch eins oben drauf und sprach von einer noch nie dagewesenen Bedrohung, da sehr viele Systeme verwundbar seien. Durch die Lücke könne man in Internet-Server und Unternehmensnetze eindringen. Auch Stromkraft- oder Wasserwerke, die mit Windows gesteuert würden, seien gefährdet. Prinzipiell haben beide Recht: Da die betroffene ASN.1-Bibliothek von sehr vielen Anwendungen und Diensten benutzt wird, ist jeder NT-basierende Windows-PC verwundbar (NT, 2000, XP, Server 2003). Insbesondere Funktionen, die Server und PCs eigentlich sicherer machen sollen, verwenden ausgiebig ASN.1. Es ist aber derzeit kein Exploit bekannt, der diese Lücken ausnutzt. eEye hat zwar nach eigenen Angaben ein Proof-of-Concept-Exploit entwickelt, ihn aber noch nicht veröffentlicht. Da einige Fehler aber bereits Mitte vergangenen Jahres gefunden wurden, ist es nicht gänzlich unwahrscheinlich, dass es bereits sogenannte Zero-Day-Exploits gibt, die in geschlossenen Cracker-Zirkeln kursieren. Angeblich hatte eEye den Fehler auch nicht selbst entdeckt, sondern hätte Hinweise darauf erhalten. Ähnliche Fehler in ASN.1-Bibliotheken für Unix-Derivate hatte das NISCC bereits im September und November 2003 gemeldet. Auch dort waren SSL/TLS- und S/MIME-Implementierungen verwundbar. CERT/CC gab daraufhin eine Vulnerability Note mit einer Liste möglicher betroffener Hersteller heraus. Microsofts Status ist dort immer noch unknown. Zum Aufbau einer SSL-geschützten Verbindung senden Server an den Client ein Zertifikat, das mittels ASN.1 analysiert wird. Ein Angreifer könnte mit einem manipulierten Zertifikat die Sicherheitslücke auf einem Client ausnutzen und beliebigen Code auf das System schreiben und ausführen. Beim normalen Online-Banking-Anwender tritt das Problem nicht auf, da die Bank wohl kaum gefälschte Zertifikate überträgt. Wer also nur vertrauenswürdige Seiten besucht, den tangiert die Lücke nur peripher. Ohnehin sind im Internet Explorer immer noch Sicherheitslücken ungepatcht, mit denen ebenfalls beliebiger Code in das System geschleust werden kann. Des weiteren tritt der Fehler auch bei der Überprüfung signierter ActiveX-Controls auf. Ob dazu allein schon die Anzeige des Dialogs, dass man dem Download zustimme, ausreicht, ist derzeit noch unklar. Ähnlich verhält es sich bei der Zertifikatsüberprüfung von S/MIME-Mails. Betroffen ist auch die Windows-Authentifizierung im Netzwerk mit NTLMv2 und Kerberos. Beide Verfahren werden in Unternehmensnetzen zu Anmeldung im Netzwerk eingesetzt. Heimanwender sind nur dann betroffen, wenn sie Laufwerke oder Drucker im Netzwerk freigeben und eine Authentifizierung zum Zugriff erforderlich ist. Windows-Server sind durch die Lücken stärker bedroht. Der Internet Information Server benutzt SSL und kann beispielsweise bei bidirektionaler Authentifizierung mit manipulierten Benutzerzertifikaten angegriffen werden. Neben Domänen-Controller sind über die Authentifizierungsmechanismen auch andere Member-Server verwundbar, auch IPSec-Gateways zum Aufbau von Virtual Private Networks unter Windows sind für Attacken anfällig. Auch wenn keineswegs Panik angesagt ist, wie mancher Artikel, der im Netz kursiert, vielleicht nahelegen könnte: Windows-Anwender sollten auf jeden Fall bald die Updates installieren, um nicht das gleiche Schauspiel zu erleben, welches seinerzeit der Wurm Lovsan/W32.Blaster bot. Damals waren einige Wochen nach der Veröffentlichung einer kritischen Lücke in Windows und den Sicherheitsupdates erste Exploits aufgetaucht, aus dem dann Lovsan entstand. Was dann folgte, ist vielen wohl noch in Erinnerung. https://support.microsoft.com/de-de - Link zu den Microsoft - Infos &. Patchs