Freak Attack: Microsoft bestätigt Lücke in Windows

Eine Kernkomponente von Windows ist für den Freak-Angriff anfällig und macht viele Versionen des Betriebssystems angreifbar. Ein Update ist in der Mache. Vorerst soll ein Workaround die Systeme sicher machen.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Windows 8

(Bild: dpa, Caroline Seidel)

Lesezeit: 2 Min.

Microsofts Sicherheits-Infrastruktur Secure Channel (SChannel) ist gegenüber dem Freak-Angriff nicht gewappnet und somit sind viele Windows-Versionen und -Anwendungen von der Sicherheitslücke betroffen. Ausnahmen bilden die Server-Versionen, die in der Standardeinstellung mit deaktivierten Export Ciphern nicht gefährdet sind. Windows Server 2003 sei wiederum betroffen. Das teilte das Unternehmen in einer Sicherheitswarnung mit.

Neben dem Internet Explorer seien auch Outlook, der Media Player und andere Windows-Anwendungen bedroht, die die HTTP-Kommunikation der Secure-Channel-Komponente nutzen. Im Zuge der Freak Attack könnten Angreifer SSL/TLS geschützten Datenverkehr entschlüsseln und im schlimmsten Fall sensible Daten mitlesen.

Microsoft stellt ein Update außerhalb des gängigen Monatszyklus in Aussicht; kann aber noch keinen Termin nennen. Derweil soll ein Workaround Abhilfe schaffen. Dieser sei ab Windows Vista anwendbar – stopft aber nicht die eigentliche Sicherheitslücke. Vielmehr deaktivieren Nutzer mit dem Workaround die betroffenen, unsicheren Schlüssel und legen eine neue Liste verwendbarer SSL-Schlüssel für Windows an. Anschließend ist Microsoft zufolge der Abruf von Webseiten, die verwundbare Schlüssel verwenden, nicht mehr möglich.

Der Freak-Attack-Test stuft außerdem den Internet Explorer in Windows Phone 8.0, 8.1 und 10 Preview als verwundbar ein. Zu entsprechenden Updates hat sich Microsoft bisher nicht geäußert.

Trotz vieler betroffener Webbrowser und Windows-Systeme sollten Nutzer Ruhe bewahren. Wie Ivan Ristic von den SSL Labs bei Qualys gegenüber heise Security mitteilte, sei der Angriff zwar theoretisch einfach auszuführen, in der Realität sind aber so viele Variablen involviert, dass sich ein Angriff auf beliebige Nutzer als schwierig darstellt. (des)