Abo
  • IT-Karriere:

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

Artikel veröffentlicht am , Hanno Böck
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Vor einigen Tagen wurde bekannt, dass für die finnische Microsoft-Domain live.fi fälschlicherweise ein Zertifikat bei der Zertifizierungsstelle Comodo ausgestellt wurde. Details, die jetzt bekanntwurden, zeigen, dass Microsoft das Problem offenbar über Wochen ignoriert hatte. Das alleine ist schon schlimm genug, dazu kommt nun jedoch, dass Microsoft in einem ähnlich gelagerten Fall in Belgien offenbar über Jahre hinweg nicht reagiert hatte.

Hostmaster-Adresse muss für User gesperrt sein

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Hays AG, Stuttgart

Ein Unbekannter, der sich gegenüber der finnischen Webseite Tivi.fi geäußert hat, konnte sich in seinem Microsoft-Account den Alias hostmaster@live.fi für seine Mailadresse anlegen. Das Problem dabei: Derartige M-Mail-Adressen werden von Zertifizierungsstellen genutzt, um die Besitzer von Domainnamen zu prüfen. Eine entsprechende Richtlinie, die sogenannten Baseline Requirements des CA/Browser-Forums, legt fest, welche Adressen für ein derartiges Verfahren geeignet sind. Microsoft selbst ist Mitglied im CA/Browser-Forum und hat an der Richtlinie mitgewirkt.

Laut Tivi.fi hatte der Unbekannte bereits im Januar den Vorfall an finnische Behörden und gleichzeitig an mehrere Kontaktadressen bei Microsoft gemeldet. Über mehrere Wochen erhielt er jedoch keine Antwort darauf. Am Dienstag dann meldete Microsoft den Vorfall in einem Advisory und sperrte gleichzeitig den Account des Betroffenen.

Vier Jahre im Besitz von administrator@live.be

Doch Microsoft wusste offenbar schon seit vielen Jahren, dass sich derartige administrative Mailadressen bei den Live-Diensten registrieren lassen. Der Webseite Ars Technica berichtet der Belgier Laurens Vets, dass er bereits 2010 die Mailadressen abuse@live.be, admin@live.be und administrator@live.be registriert hat. Mit zwei dieser Adressen hätte Vets ebenfalls nach Belieben TLS-Zertifikate registrieren können, in diesem Fall für die belgische Version des Live-Services. Auch Vets hatte den Vorfall an Microsoft gemeldet und im November 2010 eine Bestätigung erhalten, dass das Problem an die verantwortlichen Stellen weitergeleitet wurde. Vets kann anscheinend bis heute auf diese Mailadressen zugreifen.

Im Zusammenhang mit der Ausstellung von erschlichenen TLS-Zertifikaten wird gern auf die Mängel des Zertifikatssystems verwiesen, die zweifelsohne vorhanden sind. In diesem Fall scheint es sich allerdings vor allem um ein Problem bei Microsoft zu handeln. Offenbar ist man dort nicht in der Lage, auf Berichte über Sicherheitsvorfälle zeitnah zu reagieren.



Anzeige
Top-Angebote
  1. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  2. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...
  3. 43,99€ (Bestpreis!)
  4. (aktuell u. a. Asus Zenfone 5 Handy für 199,90€, Digitus DN-95330 Switch für 40,99€)

Proctrap 19. Mär 2015

Heh es ist noch nicht einmal Fr. Aber trotzdem danke für die Lacher :) P.S.: Fehler...

__destruct() 19. Mär 2015

Wie bitte? Wie kann es denn noch mehr an einem Unternehmen liegen, dass ein Zertifikat...

jg (Golem.de) 19. Mär 2015

Danke für den Hinweis, wir haben das in beiden Meldungen zu dem Thema geändert! Gruß, Juliane

GeeGee 19. Mär 2015

na jetzt aber mal die Fakten auf den Tisch


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /