Microsoft hat einen Security-Patch veröffentlicht, um eine ernstzunehmende Sicherheitslücke im Windows-Betriebssystem zu schließen. Diese könnte von Cyberkriminellen dazu missbraucht werden, um Malware als Code einer zulässigen Quelle zu tarnen.

Die Schwachstelle, welche im Zuge des Patch Tuesday-Rollouts diesen Monat behoben wurde, betrifft eine entscheidende Kryptografie-Komponente von Windows 10, Windows Server 2019 und Windows Server 2016. Die Sicherheitslücke wurde von der NSA, dem Auslandsgeheimdienst der Vereinigten Staaten, festgestellt. Die NSA hat in diesem Falle zum ersten Mal offiziell die Entdeckung einer Software-Schwachstelle offengelegt.

Indexiert als CVE-2020-0601, betrifft der Bug die „Validierung von Zertifikaten mit elliptischen Kurven (ECC) durch die Windows CryptoAPI (Crypt32.dll)“, besagt Microsofts Sicherheitswarnung. Das Crypt32.dll-Modul ist für viele Zertifizierungs- und kryptografische Nachrichtenfunktionen in der CryptoAPI verantwortlich.

„Ein Angreifer könnte die Schwachstelle ausnutzen, indem er ein gefälschtes Code Signing-Zertifikat benutzt, um eine schadhafte Programmdatei zu kennzeichnen. So würde es den Anschein machen, als wäre die Datei von einer vertrauenswürdigen, legitimen Quelle“, sagte Microsoft.

In anderen Worten könnten Cyberkriminelle ihre Opfer dazu bringen, Malware zu installieren, indem sie die Schadsoftware beispielsweise als ein seriöses Software-Update (sogar von Microsoft selbst) tarnen. Ihre Opfer würden währenddessen nicht das geringste ahnen.

„Der Nutzer könnte nicht wissen, dass die Datei schädlich ist, denn die digitale Signatur würde scheinbar von einem vertrauenswürdigen Provider stammen“, wie der Technik-Riese erklärte.

„Ein erfolgreicher Exploit könnte den Angreifern also erlauben, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen zu entschlüsseln. Die geschieht über die Verbindung der Nutzer zur betroffenen Software“, sagt Microsoft.

„Schwerwiegend und weitverbreitet“

Stunden vor der offiziellen Ankündigung kamen Gerüchte auf, dass der kommende Patch Tuesday-Rollout kein gewöhnlicher sein würde. Tatsächlich haben einige Personen in der Security-Community auf heißen Kohlen gewartet, nachdem der erfahrene Sicherheitsjournalist Brian Krebs das Ausmaß des Problems mehr als nur angedeutet hat:

„Eine außerordentlich ernstzunehmende Sicherheits-Schwachstelle“, schrieb Krebs, als er den Bug Montagnacht schilderte. Die US-Regierung und das Militär sowie mehrere bekannte Unternehmen haben den Patch angeblich schon im Voraus erhalten.

Die Schwere der Situation löste schließlich auch eine Welle von Berichten und Warnungen der US-Behörden aus. Insgesamt schloss das eine Warnung der Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA), eine Notfall-Richtlinie des Ministeriums für Innere Sicherheit (DHS), die ein beschleunigtes Patching für staatliche Institutionen und Bundesbehörden forderte, und ein Gutachten der NSA selbst ein.

„Ohne einen Patch sind schwerwiegende und weitverbreitete Konsequenzen zu erwarten. Tools zur Remote Exploitation werden vermutlich schnell entwickelt und großflächig zur Verfügung gestellt. Eine schnelle Installation des Patchs wäre derzeit die einzige mögliche Schadensbegrenzung und sollte für alle Netzwerkbesitzer der primäre Fokus sein“, schrieb der Nachrichtendienst. Weder die NSA oder Microsoft haben Kenntnis darüber, dass die Schwachstelle momentan ausgenutzt wird.

Windows 7, welches am selben Tag sein Lebensende erreichte, Windows 8 oder andere Windows-Systeme sind von der Sicherheitslücke nicht betroffen.

Das Patch Tuesday-Bundle besteht aus Fixes für insgesamt 49 Schwachstellen, welche in dieser Tabelle des SANS Technology Instituts zusammengefasst werden. Zwei kritische Fehler im Windows Remote Desktop Gateway (RD Gateway), CVE-2020-0609 und CVE-2020-0610, fallen besonders auf, da sie Cyberkriminellen die Möglichkeit geben, einen willkürlichen Code auf dem angegriffenen System auszuführen.