Windows: Kommt heute ein kritischer Kryptografie-Patch?

[English]Wenn die Gerüchte stimmen, kommt heute Abend ein kritischer Patch für die CryptoAPI diverser Windows-Versionen. Das US-Militär soll den Fix bereits vorab erhalten haben. Ergänzung: Inzwischen sind Details zur 'Spoofing-Schwachstelle' CVE-2020-0601 bekannt. Betroffen sind nicht alle Windows-Versionen, wie ursprünglich vermutet, sondern nur Windows 10, Windows Server 2016 und 2019.


Anzeige

Bin ein wenig spät dran, da ich mir gerade einen Artikel zum Supportende von Windows 7 aus den Fingern gesogen habe. Nach allgemeiner Definition erreicht Microsoft Windows 7 SP1 heute ja sein Supportende – und manche Medien schreiben, dass das Teil ab morgen unsicher sei. Daher ist das aktuelle Gerücht mal wieder ein Lehrbeispiel, dass der Teufel im Detail steckt.

Erster Patchday in 2020

Am 14. Januar 2020 ist der erste reguläre Patchday von Microsoft in diesem Jahr. Windows 7 bekommt dann letztmalig seine geplanten Sicherheitsupdates. Aber auch andere Windows-Versionen und weitere Microsoft-Produkte werden wohl gepatcht. So weit so normal.

Sicherheitsgeflüster

Ich hatte es die Nacht bereits bei askwoody.com im Newsletter als Andeutung vernommen. Woody Leonhard bezieht sich auf einen Tweet von Will Dormann (Sicherheitsanalyst beim CERT/CC):

Nun ja, jeder gute Administrator patcht zeitnah, so er weiß, dass Microsoft ihm nicht ein Ei mit Bugs oder Installationsproblemen ins Nest gelegt hat. Ich bin dann aber bei Brian Krebs auf etwas mehr Details gestoßen.

Quellen berichten KrebsOnSecurity, dass Microsoft am heutigen Dienstag ein kritisches Sicherheitsupdate veröffentlichen wird. Dieses soll eine außerordentlich schwerwiegende Sicherheitslücke in einer zentralen kryptographischen Komponente beheben, die in allen Versionen von Windows vorhanden ist.

Die von Krebs zitierten Quellen sagen, dass Microsoft stillschweigend einen Patch für die Fehlerbehebung an das US-Militär und andere hochwertige Kunden/Ziele, die wichtige Internet-Infrastrukturen verwalten, geliefert habe. Diese Organisationen wurden jedoch zur Unterzeichnung einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) gebeten. Diese hindert sie daran, vor dem 14. Januar Details zum Fehler zu veröffentlichen.

Ergänzung: Inzwischen hat der US-Geheimdienst (NSA) in einem Gespräch mit Medien bestätigt, dass man die Schwachstelle in den Kryptografie-Funktionen gefunden, und diesmal nicht geheim gehalten, sondern an Microsoft gemeldet habe.

Schwachstelle in crypt32.dll

Laut den Quellen von Krebs liegt die Sicherheitslücke in der Windows-Bibliothek crypt32.dll. Diese Bibliothek ist laut Microsoft für die Handhabung der "Zertifikats- und kryptographische Nachrichtenfunktionen in der CryptoAPI" zuständig. Die Microsoft CryptoAPI ermöglicht es Entwicklern, Windows-Anwendungen kryptographisch abzusichern. Dazu gibt es Funktionen zum Ver- und Entschlüsseln von Daten mit Hilfe digitaler Zertifikate.


Anzeige

Eine kritische Sicherheitslücke in dieser Windows-Komponente könnte weitreichende Auswirkungen auf die Sicherheit einer Reihe wichtiger Windows-Funktionen haben. Das reicht von der Authentifizierung auf Windows-Desktops und -Servern, und geht bis hin zum Schutz sensibler Daten, die von Browsern oder Anwendungen mittels der API verschlüsselt werden.

Krebs spekuliert, dass ein Fehler in crypt32.dll auch dazu missbraucht werden könnte, die digitale Signatur für Softwarepakete auszuhebeln bzw. zu fälschen. Eine solche Schwachstelle könnte von Angreifern ausgenutzt werden, um Malware als gutartiges Programm erscheinen zu lassen, das von einer legitimen Softwarefirma hergestellt und signiert wurde.

Ach ja, den Seitenhieb kann ich mir jetzt – im Hinblick auf die Apologeten, die den schnellen Wechsel von Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen – nicht verkneifen. Die Schwachstelle soll in allen Windows-Versionen stecken. Und die DLL für die CryptoAPI wurde vor über 20 Jahren eingeführt, sprich das alte Zeugs steckt auch im ultramodernen Windows as a service. Schau'n mer mal, was es heute Abend gibt.

Ergänzung: Inzwischen sind Details zur 'Spoofing-Schwachstelle' CVE-2020-0601 bekannt.

Eine Spoofing-Schwachstelle besteht in der Art und Weise, wie die Windows CryptoAPI (Crypt32.dll) ECC-Zertifikate (Elliptic Curve Cryptography) validiert.

Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei verwendet, so dass der Eindruck entsteht, die Datei stamme aus einer vertrauenswürdigen, legitimen Quelle. Der Benutzer hätte keine Möglichkeit, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt.

Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln.

Das Sicherheitsupdate behebt die Sicherheitslücke, indem es sicherstellt, dass die Windows CryptoAPI ECC-Zertifikate vollständig validiert.

Betroffen sind Windows 10, Windows Server 2016 und 2019 – also alle super modernen Microsoft Betriebssysteme. Die Schwachstellen werden mit den kumulativen Updates vom 14. Januar 2020 geschlossen (siehe CVE-2020-0601 und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Windows: Kommt heute ein kritischer Kryptografie-Patch?

  1. DerApologetSchlechthin sagt:

    >Günni schrieb: "im Hinblick auf die Apologeten, die den schnellen Wechsel von
    >Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen"
    >

    Nunja, Windows 10 ist auch nur ein Windows 8 mit mehr Telemetrie und Windows 8 ist auch nur ein Reskin von Windows 7 und Windows 7 ist auch nur ein Vista ohne Kernel Dispatcher lock. Von daher wird jeder Bug mitgenommen, den es vorher schon gab.

    In Wahrheit sind da natürlich noch mehr (sinnvolle) Änderungen die ich auslasse, aber wenn wir die Telemetrie nicht hätten wäre Windows 10 eine gute Sache. Ich empfehle den Wechsel trotzdem solange man kein Arzt, Behörde, etc ist.

    Ich hoffe die Kryptokalypse kommt heute, um die Patchverweigerer zu quälen, egal welches Windows benutzt wird :)
    Installiert das Zeug ob 7, 8 oder 10, ihr habt dafür auch bezahlt! Impf- und Patchverweigerer sind Ewiggestrige.

  2. Die/Das/Der Gender-Krankheit*erIn sagt:

    "…Ach ja, den Seitenhieb kann ich mir jetzt – im Hinblick auf die Apologeten, die den schnellen Wechsel von Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen…"
    Sehe ich auch so. Der Teufel wird in leuchtenden Farben an die Wand gemalt.

    Zuerst müssen Schwachstellen auftauchen, und dann müssen die von Angreifern noch irgendwie genutzt werden können. Dass man auch eine Security-Lösung eines Drittanbieters installieren kann, erzählt natürlich niemand.

    Windows 7 soll eine tickende Zeitbombe sein :-) https://www.20min.ch/digital/news/story/200-Mio–PCs-sind-eine–tickende-Zeitbombe–11354131
    Ich frage mich, ob da nicht die "Sicherheitsexperten" eine tickende Zeitbombe sind, und ins Irrenhaus gehören, weil sonst Gefahr für einen Amok-Lauf besteht.

    Soweit die Sicht eines Normalverbrauchers.

  3. Bolko sagt:

    Als MS im März 2016 die CryptoAPI verändert hatte, da funktionierten manche Bluetooth-Treiber von Intel nicht mehr, weil sie noch die ältere Verschlüsselung brauchten.
    Das Problem war, dass Intel für ältere Chips auch keine Treiber mehr rausgeben wollte.
    Das heißt dann, die Hardware ist unbrauchbarer Müll geworden.
    Totgepatcht aus "Sicherheitsgründen".
    Was nützt mir ein sicheres Verfahren, wenn das Gerät dann gar nicht mehr ansprechbar ist?

  4. DerApologetSchlechthin sagt:

    doppelpost, sorry kann weg :(

  5. Bolko sagt:

    Da wird der Crypto-Fehler beschrieben:
    https://www.kb.cert.org/vuls/id/849224/

  6. Bolko sagt:

    A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

    Die Funktion CertGetCertificateChain() in der Crypt32.dll hat also die ECC-Zertifikate nicht richtig überprüft.
    Dadurch können gefälschte Zertifikate als echt akzeptiert werden.

  7. 1ST1 sagt:

    SPON schreibt, der Tippgeber für die Lücke wäre die NSA

    https://www.spiegel.de/netzwelt/web/windows-10-nsa-warnte-microsoft-vor-gefaehrlicher-sicherheitsluecke-a-e5780269-1ea0-4426-88ca-dad22328268c

    Am Ende des Artikels erinnert SPON an EternalBlue, eine weitere Schwachstelle, welche die NSA etwa 2016/2017 an Microsoft verraten hat. Zuvor hat NSA diese Schwachstelle selbst ausgenutzt, um in Systeme einzubrechen. Dann gelangte die Lücke aber in Hackerhände, was dann der ausschlaggebende Grund für die NSA war, diese an MS zu melden.

    Hoffen wir mal das Beste…!

  8. 1ST1 sagt:

    Übrigens, mein Win 10 1909 fordert gerade zum Neustart auf. Mal gucken, bis gleich!

  9. Bolko sagt:

    für Win 7:

    1.
    KB4536952 – Servicing Stack Update (SSU) (exklusiv installieren, also vorher neustarten und am besten hinterher nochmal neustarten und ca 10 MInuten warten bevor man weitere Updates installiert)

    2.
    KB4534314 – Security-only
    (KB4534310 – Rollup)

    3.
    KB4534251 – Internet Explorer 11

    4.
    KB4535102 – net Framework Rollup

    Installation und Neustart funktionierten problemlos.

    Nach dem Neustart war die CPU-Auslastung allerdings für eine Minute höher als sonst.
    Vielleicht werden erstmal die Zertifikate neu überprüft?

  10. Bernard sagt:

    Was den Patch angeht: Es wird erneut empfohlen, SMB1 abzuschalten. Tja, wenn man das nicht braucht…

    Leider haben wir hier Drucker, die ohne SMB1 im Netz nicht mehr richtig funktionieren. Ist halt blöd.

  11. Bolko sagt:

    Ist Windows 7 gar nicht betroffen von dem Crypto-Bug?

    In der Tabelle sind nur Win10 und Server 2016/2019 aufgelistet:
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

    • Günter Born sagt:

      Die Info hatte ich auch – es sollen nur Windows 10 und Windows Server 2016/2019 tangiert sein – bei Brian Krebs heißt es noch alle Windows-Versionen. Ich habe mal eine Ergänzung im Text hinzugefügt.

  12. Bolko sagt:

    In dem NSA-Dokument wird Win7 auch nicht erwähnt, sondern auch nur Win10 und Server 2016/2019

    https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

    Demnach sind also auch HTTPS-Verbindungen betroffen, sowohl Signaturen von Dateien und emails.

  13. Bolko sagt:

    Win7 ist nicht betroffen:

    CryptoAPI spoofing vulnerability – CVE-2020-0601: This vulnerability affects all machines running 32- or 64-bit Windows 10 operating systems, including Windows Server versions 2016 and 2019.
    https://www.us-cert.gov/ncas/alerts/aa20-014a

    • Günter Born sagt:

      Wurde in den Kommentaren mehrfach beantwortet – m.W. sind nur Windows 10 und Windows Server 2016/2019 betroffen.

      CVE-2020-0601

      • Dietmar sagt:

        Ich vermute, nein – ich bin überzeugt daß es ist reiner Zufall ist daß es auch nach dem 14.1.2020 keinen Patch für Windows7, Server2008R2 dafür gibt. Sind ja auch nicht betroffen.
        :D

      • brindenwalse sagt:

        passt. Die crypt32.dll bei win7-32 ist von 10.12.2019, Dateiversion 6.1.7601.24542. Die aktuellen patches (ssu, sec-only, IE) haben da anscheinend nichts verändert(?!).

        • brindenwalse sagt:

          Kommando zurück, die Datei crypt32.dll wird durch eines der Januar-updates Cumulative IE11 KB4534251 und/oder sec-only KB4534314 auf die Version 6.1.7601.24542 vom Dezember 2019 gehoben, vorher aus Juni 2019 mit VersionsNr 244x. Windows 7-64.

          • Günter Born sagt:

            Das könnte möglicherweise Zufall sein – beschreien würde ich es nicht. Aber schau dir mal die Beschreibung von KB4534251 an.

            Except for Internet Explorer 11 on Windows Server 2012, the fixes that are included in this Security Update for Internet Explorer (KB 4534251) are also included in the January 2019 Security Monthly Quality Rollup. Installing either the Security Update for Internet Explorer or the Security Monthly Quality Rollup installs the fixes that are in this update.

            Allerdings könnte es sein, dass ein Microsoftler sich vertippt hat und mit dem January 2019 Security Only Quality Update, and the January 2019 Security Monthly Quality Rollup die Patches vom Januar 2020 gemeint sind.

            So oder so: Wer seine Maschine mit Win 7/8.1 sowie die Server Pendants mit den Januar 2020-Updates und ggf. dem IE 11-Update patcht, dürfte auf der sicheren Seite sein.

          • Dietmar sagt:

            Windows Server 2008 R2 Standard
            Version 6.1 (Build 7601: ServicePack 1)
            Vorgestern:
            crypt32.dll
            Dateiversion: 6.1.7601.24499
            Größe: 1,41 MB
            Änderungsdatum: 12.06.2019 17:07
            Originaldateiname: CRYPT32.DLL

            Gestern:
            crypt32.dll
            Dateiversion: 6.1.7601.24542
            Größe: 1,41 MB
            Änderungsdatum: 10.12.2019 09:32
            Originaldateiname: CRYPT32.DLL

          • rebootnix sagt:

            und bei einem win8.1_64 ist nach den patches die Version von Crypt32.dll 6.3.9600.18653, 1,87MB, 01.04.2017.
            Würde bedeuten, win8.1 ist (ebenfalls) nicht betroffen?!

          • brindenwalse sagt:

            najaa, @Günter Born, "möglicherweise Zufall"?
            2x win7-32, 1x win7-64, jeweils die gleichen Datei-Veränderungen (updates) die 'crypt32.dll' in \Windows\System32 betreffend?!
            wohl eher kaum.

Schreibe einen Kommentar zu DerApologetSchlechthin Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.