Patch Tuesday: Windows patzt bei Zertifikatsprüfung

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

Artikel veröffentlicht am ,
Die Zertifikatsprüfung von Windows ist kaputt - Nutzer sollten schnellstmöglich updaten.
Die Zertifikatsprüfung von Windows ist kaputt - Nutzer sollten schnellstmöglich updaten. (Bild: Windows-Logo / Effekt)

Am heutigen Patch Tuesday von Microsoft sind mehrere gravierende Sicherheitslücken in Windows geschlossen worden. Ein Fehler bei der Prüfung von Signaturen mit elliptischen Kurven ermöglichte es, die komplette Prüfung von Zertifikatssignaturen auszutricksen. Das gilt sowohl für Codesignaturen als auch für TLS-Zertifikate. Zudem gibt es eine Remote-Code-Execution-Lücke im Remote Desktop Gateway.

TLS-Verbindungen und Codesignaturen angreifbar

Stellenmarkt
  1. Anwendungsentwicklerin / Anwendungsentwickler (w/m/d)
    Bundesinstitut für Risikobewertung, Berlin
  2. IT-Administrator im Helpdesk (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
Detailsuche

Bei der Lücke in der Zertifikatsprüfung handelt es sich um einen Fehler bei der Verarbeitung von Signaturen mit elliptischen Kurven. Durch die Lücke lassen sich Codesignaturen erzeugen, die in verwundbaren Windows-Versionen gültig aussehen. Zudem können TLS-Verbindungen durch einen Man-in-the-Middle-Angriff mitgelesen und manipuliert werden.

Aus einer Ankündigung der NSA, welche die Lücke an Microsoft meldete, geht hervor, dass Zertifikate, welche die Lücke ausnutzen, individuelle elliptische Kurven als Parameter haben. Bei X.509-Zertifikaten, die sowohl für TLS als auch für Codesignaturen verwendet werden, ist es möglich, entweder standardisierte elliptische Kurven zu verwenden oder die Kurvenparameter manuell anzugeben. Es scheint also so, als ob Windows bei der Verarbeitung von Kurvenparametern einen Fehler macht.

Die weitere Lücke betrifft das Remote Desktop Gateway. Das ist eine Funktion von Windows, mit der sich die Remote-Desktop-Funktion in internen Netzwerken von außen zugänglich machen lässt. Wer diese nutzt, ist besonders gefährdet, denn dabei ist dank der Sicherheitslücken eine Codeausführung über das Netzwerk möglich. Das normale Remote-Desktop-Protokoll ist davon nicht betroffen.

NSA meldete Lücke an Microsoft

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Einem Bericht der Washington Post zufolge wurde die Lücke in der Zertifikatsvalidierung von der NSA gefunden und an Microsoft gemeldet. Die NSA bestätigte dies inzwischen. Der US-Auslandsgeheimdienst nutzt selbst häufig Sicherheitslücken aus, in diesem Fall entschied er sich aber offenbar dazu, die Lücke an den Hersteller zu melden.

Wie immer bei Sicherheitslücken gilt: Wer Windows verwendet, sollte die Updates schnellstmöglich installieren. Insbesondere die Lücke bei der Zertifikatsvalidierung betrifft alle Anwender und ist mit erheblichen Gefahren verbunden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

Tantalus 15. Jan 2020

Was jetzt? Golem schreibt das Gegenteil: Bei MS finde ich nur eine CVE für "Remote...

1st1 15. Jan 2020

Naja, wer jetzt noch Server 2008 betreibt, sollte mal langsam den ständigen Beschuss vor...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /