BadCert: Symcrypt-Schwachstelle gefährdet Windows Server

[English] Google-Sicherheitsexperte Tavis Ormandy von Googles Sicherheitsinitiative Project Zero hat heute bekannt gegeben, dass eine ungepatchte Schwachstelle in der Hauptkryptobibliothek Symcrypt des Betriebssystems von Microsoft eine Denial-of-Service (DoS)-Bedingung in Windows 8-Servern und höher verursachen kann.


Anzeige

Die Sicherheitslücke war von Tavis Ormandy von Googles Sicherheitsinitiative Project Zero entdeckt und an Microsoft gemeldet worden. Nachdem die 90-Tage-Frist nach der Meldung verstrichen ist, veröffentlicht Ormandy nun die betreffenden Informationen und weist auf Twitter darauf hin:

Die Information besagt, dass die Schwere einer Schwachstelle in SymCrypt zwar relativ gering sei. Wer diese ausnutzt, man könnte eine ganze Windows-Flotte relativ leicht abschalten. Ormandy hat das Ganze hier dokumentiert und dort auch Test-Zertifikate zum Triggern der Schwachstelle bereitgestellt.

Fehler in SymCrypt

Es gibt einen Fehler in der Verschlüsselungsbibliothek SymCrypt, dies seit Windows 8 für Symmetrische Verschlüsselungsfunktionen verwendet wird. Windows 10 verwendet die Bibliothek seit Oktober 2017 für alle kryptographischen Funktionen.

Ormandy ist aufgefallen, dass man die Multipräzisions-Arithmetischen Routinen mit bestimmten Daten in eine Endlosschleife bei der Berechnung der schicken kann. Das wirkt sich wie ein Denial-of-Service-Angriff (DoS) aus. Ormandy konnte ein X.509-Zertifikat erstellen, das den Fehler auslöst.

Bei Tests wurde festgestellt, dass die Einbettung des präparierten Zertifikats in eine S/MIME-Nachricht, eine Authentifizierungssignatur, eine Channel-Verbindung usw. effektiv jeden Windows-Server (z.B. ipsec, iis, exchange, etc.) zum Hängen bleiben zwingt. Je nach Kontext hilft nur noch ein Neustart der Maschine, um wieder arbeiten zu können.  Ormandy schreibt, dass offensichtlich viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie z.B. Antivirenprogramme), diese Routinen mit nicht vertrauenswürdigen Daten auf,. Das führt dann zu einem Stillstand der Maschine.

Nutzer können dies überprüfen und werden feststellen, dass der folgende Befehl nie abgeschlossen wird:


Anzeige

C:\> certutil.exe testcase.crt

Ormandy stuft die Schwachstelle mit einem niedrigen Bedrohungsgrad ein. Von Microsoft liegt noch kein Patch vor, so dass Ormandy die Informationen nach der 90-tägigen Wartefrist offen legt. Auf Github ist der Quellcode eines Moduls zu finden, um die Schwachstelle auszunutzen. Golem hat diesen deutschsprachigen Beitrag zum Thema und von Bleeping Computer gibt es diesen Artikel dazu. (via)


Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 8, Windows 8.1, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu BadCert: Symcrypt-Schwachstelle gefährdet Windows Server


  1. Anzeige
  2. 1ST1 sagt:

    Es reicht eine entsprechend präparierte Email um den Exchange-Server lahmzulegen? Es reicht, den Antivirus mit solch einer Datei zu konfrontieren, und der Rechner wird lahmgelegt? Das soll ein “niedriger Bedrohungsgrad” sein?

    • Ralph D. Kärner sagt:

      Natürlich, ein einfacher Neustart reicht ja zur Behebung des Problems aus… (Sarkasmus nach Belieben hinzufügen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.