zurück zum Artikel

Für Admins: Microsoft stellt Windows-7-Updates auf SHA-2-Signierung um

Günter Born
Microsoft

Die Codesignierung mit SHA-1 gilt inzwischen als nicht mehr sicher. Updates für Windows 7 und Windows Server 2008 werden daher umgestellt.

Im Jahr 2019 kappt Microsoft die SHA-1-Signierung von Update-Paketen für Windows 7 / Windows Server 2008/R2 und stellt auf SHA-2 um. Administratoren der betroffenen Plattformen sollten dies im Auge behalten.

Update-Signierung mit SHA1 und SHA2

Microsoft versah bisher Update-Pakete für Windows jeweils mit einer SHA1- und einer SHA2-Signatur. Diese Signaturen ermöglichen den Update-Clients zu prüfen, ob das Update-Paket von Microsoft stammt und nicht modifiziert wurde. In Windows 7 SP1, Windows Server 2008 SP2 und Windows Server 2008 R2 SP1 wird bisher aber nur die SHA-1-Signatur zur Integritätsprüfung benutzt.

Problem bei diesem Ansatz: Die Codesignierung mit SHA-1 gilt inzwischen als nicht mehr sicher. Denn 2017 gelang es Sicherheitsforschern das SHA-1-Verfahren auszuhebeln, indem zwei verschiedenen Dokumenten ein identischer SHA-1-Hash-Wert zugeordnet wurde (siehe Todesstoß: Forscher zerschmettern SHA-1 [1]). Das bedeutet, Angreifer könnten Update-Pakete für Windows 7 und die Server-Pendants abfangen, modifizieren und mit einer vom Update-Client akzeptierten SHA-1-Signatur versehen an die Clients weiterleiten.

Browser-Entwickler haben SHA1 verbannt

Die Entwickler diverser Browser haben daher bereits 2017 reagiert und die Unterstützung für das SHA-1-Signaturverfahren beendet. Seit Januar 2017 sollten Browser eine Fehlermeldung anzeigen, wenn sie auf mit SHA-1 signierte Zertifikate stoßen (siehe Aufgepasst: SHA-1-Zertifikate vor dem endgültigen Aus [2]). Nur firmenspezifische SHA-1-Zertifikate sind noch in Gebrauch.

Microsoft kündigte im November 2018 mit 2019 SHA-2 Code Signing Support requirement for Windows and WSUS [3] das Ende des SHA1-Codesignierung für Windows Update in 2019 an. Dies betrifft die Plattformen:

Die Update-Clients der betreffenden Betriebssysteme müssen im Frühjahr 2019 zwingend die SHA-2-Signatur der Update-Pakete auswerten können, um deren Gültigkeit zu validieren. Fehlt diese Aktualisierung des Update-Clients, können ab einem angegebenen Stichtag keine Updates mehr installiert werden. Das gilt auch für die Update-Verteilung in Unternehmensumgebungen per Windows Server Update Services (WSUS).

Microsofts genauer Fahrplan zur Umstellung

Microsoft hat eine schrittweise Umstellung auf die ausschließliche Signierung mit SHA-2 angekündigt. Hier die betreffenden Termine für die Umstellung der Windows Update-Clients und von WSUS 3.0 SP2:

Administratoren und Anwender der genannten Windows-Systeme sollten diese Fristen kennen und sicherstellen, das die Windows-Clients und -Server entsprechend vorbereitet sind. Durch den Rollup-Ansatz ist sichergestellt, dass das betreffende Client-Update nur einmalig installiert wird.

Bleibt nur zu hoffen, dass die bereitgestellten Updates keine so gravierenden Fehler enthalten, die Administratoren eine Installation unmöglich machen. Für Windows 8.1 und höher sowie für die entsprechenden Server-Pendants verwendet Microsoft bereits eine SHA-2-Codesignierung, sodass dort keine Aktualisierung der betreffenden Funktionen erforderlich ist. (jk [4])

URL dieses Artikels:
https://www.heise.de/-4259524

Links in diesem Artikel:
[1] https://www.heise.de/news/Todesstoss-Forscher-zerschmettern-SHA-1-3633589.html
[2] https://www.heise.de/news/Admins-aufgepasst-SHA1-Zertifikate-vor-dem-endgueltigen-Aus-3460868.html
[3] https://support.microsoft.com/en-us/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus
[4] mailto:jk@heise.de

Copyright © 2018 Heise Medien