Verunsicherung durch Windows-Lücken -- und Schlagzeilen

Nach der Veröffentlichung der Sicherheitslöcher in Windows und dieses Mal recht schlagzeilenträchtiger Berichterstattung in den normalen Medien sind weltweit Benutzer über die möglichen Risiken für den eigenen PC verunsichert. Grund für die Hysterie ist unter anderem eine Äußerung des für Sicherheitsfragen zuständigen Microsoft-Manager Stephen Toulouse -- die in der PR von Sicherheitsfirmen und in deren Folge dann in der internationalen und der deutschen Presse mit Aplomb aufgegriffen wurde -- bis hin zur Bild-Zeitung; aber selbst die Süddeutsche Zeitung sprach von einer "Lücke wie ein Scheunentor".

Toulouse erklärte zu dem Sicherheitsleck, es handele sich um ein ausgesprochen tiefes und umfassendes Problem. Marc Maiffret von eEye, Entdecker der Sicherheitslücken, setzte sogar noch eins oben drauf und sprach von einer noch nie dagewesenen Bedrohung, da sehr viele Systeme verwundbar seien. Durch die Lücke könne man in Internet-Server und Unternehmensnetze eindringen. Auch Stromkraft- oder Wasserwerke, die mit Windows gesteuert würden, seien gefährdet.

Prinzipiell haben beide Recht: Da die betroffene ASN.1-Bibliothek von sehr vielen Anwendungen und Diensten benutzt wird, ist jeder NT-basierende Windows-PC verwundbar (NT, 2000, XP, Server 2003). Insbesondere Funktionen, die Server und PCs eigentlich sicherer machen sollen, verwenden ausgiebig ASN.1. Es ist aber derzeit kein Exploit bekannt, der diese Lücken ausnutzt. eEye hat zwar nach eigenen Angaben ein Proof-of-Concept-Exploit entwickelt, ihn aber noch nicht veröffentlicht. Da einige Fehler aber bereits Mitte vergangenen Jahres gefunden wurden, ist es nicht gänzlich unwahrscheinlich, dass es bereits sogenannte Zero-Day-Exploits gibt, die in geschlossenen Cracker-Zirkeln kursieren. Angeblich hatte eEye den Fehler auch nicht selbst entdeckt, sondern hätte Hinweise darauf erhalten.

Ähnliche Fehler in ASN.1-Bibliotheken für Unix-Derivate hatte das NISCC bereits im September und November gemeldet. Auch dort waren SSL/TLS- und S/MIME-Impementierungen verwundbar. CERT/CC gab daraufhin eine Vulnerability Note mit einer Liste möglicher betroffener Hersteller heraus. Microsofts Status ist dort immer noch unknown.

Zum Aufbau einer SSL-geschützten Verbindung senden Server an den Client ein Zertifikat, das mittels ASN.1 analysiert wird. Ein Angreifer könnte mit einem manipulierten Zertifikat die Sicherheitslücke auf einem Client ausnutzen und beliebigen Code auf das System schreiben und ausführen. Beim normalen Online-Banking-Anwender tritt das Problem nicht auf, da die Bank wohl kaum gefälschte Zertifikate überträgt. Wer also nur vertrauenswürdige Seiten besucht, den tangiert die Lücke nur peripher. Ohnehin sind im Internet Explorer immer noch Sicherheitslücken ungepatcht, mit denen ebenfalls beliebiger Code in das System geschleust werden kann.

Des Weiteren tritt der Fehler auch bei der Überprüfung signierter ActiveX-Controls auf. Ob dazu allein schon die Anzeige des Dialogs, dass man dem Download zustimme, ausreicht, ist derzeit noch unklar. Ähnlich verhält es sich bei der Zertifikatsüberprüfung von S/MIME-Mails. Betroffen ist auch die Windows-Authentifizierung im Netzwerk mit NTLMv2 und Kerberos. Beide Verfahren werden in Unternehmensnetzen zu Anmeldung im Netzwerk eingesetzt. Heimanwender sind nur dann betroffen, wenn sie Laufwerke oder Drucker im Netzwerk freigeben und eine Authentifizierung zum Zugriff erforderlich ist.

Windows-Server sind durch die Lücken stärker bedroht. Der Internet Information Server benutzt SSL und kann beispielsweise bei bidirektionaler Authentifizierung mit manipulierten Benutzerzertifikaten angegriffen werden. Neben Domänen-Controller sind über die Authentifizierungsmechanismen auch andere Member-Server verwundbar -- auch IPSec-Gateways zum Aufbau von Virtual Private Networks unter Windows sind für Attacken anfällig.

Auch wenn keineswegs Panik angesagt ist, wie mancher Artikel, der im Netz kursiert, vielleicht nahelegen könnte: Windows-Anwender sollten auf jeden Fall bald die Updates installieren, um nicht das gleiche Schauspiel zu erleben, welches seinerzeit der Wurm Lovsan/W32.Blaster bot. Damals waren einige Wochen nach der Veröffentlichung einer kritischen Lücke in Windows und den Sicherheitsupdates erste Exploits aufgetaucht, aus der dann Lovsan entstand. Was dann folgte, ist vielen wohl noch in Erinnerung.

Siehe dazu auch: (dab)

• Microsoft stopft weitere Sicherheitslücken auf heise Security
• Handeln statt Panik, Meldung des BSI zu den neu veröffentlichten Sicherheitslücken