Jeden zweiten Dienstag im Monat ist es so weit: Der Windows Patchday steht an. An diesem Tag bekommen sämtliche aktuell unterstützten Windows-Versionen nötige Sicherheitsupdates sowie Bugfixes. Auch heute hat Microsoft Updates für alle Systeme bereitgestellt, erstmalig für 2020. Heute ist zudem ein besonderer Stichtag: Der Support für Windows 7 endet, das Betriebssystem bekommt zum letzten Mal Sicherheitsupdates.
Dennoch sollte man nicht vergessen, dass auch die regulären Patches für die verschiedenen Versionen von Windows 10 von größter Wichtigkeit sein können, denn in der Regel beheben sie schwere Sicherheitslücken. Und gerade der heutige Patchday fixt eine immense Lücke.
Der US-amerikanische Journalist Brian Krebs veröffentlichte bereits vorab Details zu der Lücke in seinem Blog, die das offizielle Security-Dokument von Microsoft bestätigt. Demnach lässt sich über eine Lücke in der CryptoAPI bösartige Software so tarnen, dass der PC sie als vertrauenswürdiges Programm erkennt. Für den Nutzer ist dann nicht einsehbar, dass die Software eigentlich nicht von einem bekannten Hersteller stammt. Die CryptoAPI ist bereits seit über 20 Jahren ein Teil von Windows, deshalb sind alle Windows-Betriebssysteme betroffen. Auch die NSA stuft die Lücke als Cybersecurity-Problem ein.
- I get the impression that people should perhaps
- pay very close attention to installing tomorrow's
- Microsoft Patch Tuesday updates in a timely
- manner. Even more so than others.
- I don't know... just call it a hunch?
- ¯\_(ツ)_/¯
- — Will Dormann (@wdormann) 13. Januar 2020
Quelle: Januar-Updates für Windows 10 sofort installieren: Microsoft fixt 20 Jahre alte Riesen-Sicherheitslücke - CHIP
Update: 16.01.2020
Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht
Angreifer könnten in Windows 10 unter anderem in verschlüsselte HTTPS-Verbindungen einsteigen. Mit jüngst erschienenen Exploits ist das kein Hexenwerk mehr.
Wer Windows 10 oder Windows Server 2016/2019 nutzt, sollte sicherstellen, dass die aktuellen Sicherheitsupdates aus Januar installiert sind. Ist das nicht der Fall, sollte man die Windows-Update-Funktion anwerfen. Ist ein Windows nicht gepatcht, könnten Angreifer unter anderem verschlüsselte HTTPS-Verbindungen aufbrechen. Andere Windows-Versionen sind Microsoft zufolge nicht von der Schwachstelle (CVE-2020-0601) betroffen.
Konkret geht es um die Sicherheitslücke, die die National Security Agency (NSA) an Microsoft gemeldet hat. Die Sicherheitspatches zum Schließen der Schwachstelle sind am Patchday Anfang dieser Woche erschienen. In einer Krypto-Bibliothek (Crypt32.dll) von Windows findet sich ein gefährlicher Fehler. Dieser ist auf die Implementierung der Signierung mittels elliptischer Kurven (ECC) zurückzuführen.
Gefährliche Folgen
Setzen Angreifer erfolgreich an der Lücke an, könnten sie sich als Man-in-the-Middle in verschlüsselte HTTPS-Verbindungen einklinken. Diese sind dann belauschbar und manipulierbar. Außerdem könnten sie Signaturen von Dateien und E-Mails fälschen. So könnte Windows beispielsweise eine von Betrügern signierte exe-Datei als vertrauenswürdig einstufen und diese ausführen.
Renommierte Sicherheitsexperten wie Bruce Schneier halten die Lücke für äußerst gefährlich und raten dazu, Systeme umgehend zu patchen. Zu diesem Schluss kommen auch andere Sicherheitsforscher. Auch die NSA empfiehlt in ihrer Warnmeldung eine zügige Aktualisierung. Microsoft hat die Sicherheitspatches in einer Meldung lediglich mit der Einstufung "wichtig" versehen.
Die Lage spitzt sich zu
Da nun von verschiedenen Seiten Exploit-Code aufgetaucht ist, könnten Attacken auf verwundbare Systeme kurz bevorstehen. Zum Beispiel hat ein Sicherheitsforscher einen Exploit für Fake-TLS-Zertifikate entwickelt. So könnte sich eine Betrüger-Website gegenüber einem Webbrowser als legitim ausweisen.
Microsoft führt aus, dass sie neben den Sicherheitspatches auch den Windows-Defender mit einem Schutz vor Angriffen auf die Lücke versehen haben. So soll der Anti-Viren-Wächter beispielsweise Fake-Zertifikate erkennen können und warnen.
Quelle: Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht | heise online