Abo
  • IT-Karriere:

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

Artikel veröffentlicht am , Hanno Böck
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse.
So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot)

Vor einigen Tagen wurde bekannt, dass für die finnische Microsoft-Domain live.fi fälschlicherweise ein Zertifikat bei der Zertifizierungsstelle Comodo ausgestellt wurde. Details, die jetzt bekanntwurden, zeigen, dass Microsoft das Problem offenbar über Wochen ignoriert hatte. Das alleine ist schon schlimm genug, dazu kommt nun jedoch, dass Microsoft in einem ähnlich gelagerten Fall in Belgien offenbar über Jahre hinweg nicht reagiert hatte.

Hostmaster-Adresse muss für User gesperrt sein

Stellenmarkt
  1. PENTASYS AG, mehrere Standorte
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München

Ein Unbekannter, der sich gegenüber der finnischen Webseite Tivi.fi geäußert hat, konnte sich in seinem Microsoft-Account den Alias hostmaster@live.fi für seine Mailadresse anlegen. Das Problem dabei: Derartige M-Mail-Adressen werden von Zertifizierungsstellen genutzt, um die Besitzer von Domainnamen zu prüfen. Eine entsprechende Richtlinie, die sogenannten Baseline Requirements des CA/Browser-Forums, legt fest, welche Adressen für ein derartiges Verfahren geeignet sind. Microsoft selbst ist Mitglied im CA/Browser-Forum und hat an der Richtlinie mitgewirkt.

Laut Tivi.fi hatte der Unbekannte bereits im Januar den Vorfall an finnische Behörden und gleichzeitig an mehrere Kontaktadressen bei Microsoft gemeldet. Über mehrere Wochen erhielt er jedoch keine Antwort darauf. Am Dienstag dann meldete Microsoft den Vorfall in einem Advisory und sperrte gleichzeitig den Account des Betroffenen.

Vier Jahre im Besitz von administrator@live.be

Doch Microsoft wusste offenbar schon seit vielen Jahren, dass sich derartige administrative Mailadressen bei den Live-Diensten registrieren lassen. Der Webseite Ars Technica berichtet der Belgier Laurens Vets, dass er bereits 2010 die Mailadressen abuse@live.be, admin@live.be und administrator@live.be registriert hat. Mit zwei dieser Adressen hätte Vets ebenfalls nach Belieben TLS-Zertifikate registrieren können, in diesem Fall für die belgische Version des Live-Services. Auch Vets hatte den Vorfall an Microsoft gemeldet und im November 2010 eine Bestätigung erhalten, dass das Problem an die verantwortlichen Stellen weitergeleitet wurde. Vets kann anscheinend bis heute auf diese Mailadressen zugreifen.

Im Zusammenhang mit der Ausstellung von erschlichenen TLS-Zertifikaten wird gern auf die Mängel des Zertifikatssystems verwiesen, die zweifelsohne vorhanden sind. In diesem Fall scheint es sich allerdings vor allem um ein Problem bei Microsoft zu handeln. Offenbar ist man dort nicht in der Lage, auf Berichte über Sicherheitsvorfälle zeitnah zu reagieren.



Anzeige
Top-Angebote
  1. 799,90€
  2. (u. a. Guild Wars 2 - Path of Fire 15,99€, PUBG Survivor Pass 3 6,99€, Die Sims 4 10,99€)
  3. (aktuell u. a. NZXT H500 Overwatch Special Edition Gehhäuse 129,90€, NZXT RGB Kit 79,90€)
  4. (Monitore ab 147,99€ und Laptops ab 279,00€)

Proctrap 19. Mär 2015

Heh es ist noch nicht einmal Fr. Aber trotzdem danke für die Lacher :) P.S.: Fehler...

__destruct() 19. Mär 2015

Wie bitte? Wie kann es denn noch mehr an einem Unternehmen liegen, dass ein Zertifikat...

jg (Golem.de) 19. Mär 2015

Danke für den Hinweis, wir haben das in beiden Meldungen zu dem Thema geändert! Gruß, Juliane

GeeGee 19. Mär 2015

na jetzt aber mal die Fakten auf den Tisch


Folgen Sie uns
       


Cray X Exoskelett angesehen (Hannover Messe 2019)

Cray X ist ein aktives Exoskelett, das beim Heben unterstützt. Das Video stellt das System vor.

Cray X Exoskelett angesehen (Hannover Messe 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Dragon-Raumschiff bei Test explodiert
    2. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    3. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers

    Passwort-Richtlinien: Schlechte Passwörter vermeiden
    Passwort-Richtlinien
    Schlechte Passwörter vermeiden

    Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
    Von Hanno Böck

    1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
    2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
    3. Fido-Sticks im Test Endlich schlechte Passwörter

      •  /