Freak Attack: Hotfix legt Windows Update lahm
Microsoft bietet einen Workaround an, um die Gefahr des Freak-Angriffes unter Windows abzuwehren. Allerdings funktioniert nach dem Befolgen der Anleitung auf einigen Systemen das Herunterladen von Updates nicht mehr. HTTPS-Webseiten sind auch betroffen.
- Fabian A. Scherschel
Der von Microsoft empfohlene Workaround, um die Freak-Lücke in der Krypto-Infrastruktur von Windows zu stopfen, kann auf Systemen dazu führen, dass Windows Update nicht mehr richtig funktioniert. Heise Security konnte das in eigenen Tests nachstellen. Die von Microsoft vorgeschlagene Modifikation der Krypto-Algorithmen führt außerdem dazu, dass einige über HTTPS ausgelieferte Webseiten nicht mehr zu erreichen sind. Dazu gehören unter anderem die Online-Banking-Angebote mehrerer Banken.
Workaround mit Hindernissen
Da für die Freak-Lücke momentan kein Patch zur Verfügung steht, empfiehlt Microsoft, die verwendeten Krypto-Algorithmen für SChannel von Hand mit dem Gruppenrichtlinien-Editor anzupassen. Diese Änderung scheint auch den Mechanismus von Windows Update so zu beeinflussen, dass das Programm hängt und weder nach neuen Updates suchen noch diese installieren kann. Macht man die Änderungen wieder rückgängig, funktioniert alles wie gewohnt. Nutzer der Endkunden-Versionen von Windows 7 (Home Basic, Home Premium und Starter) sind bei dem Workaround eh außen vor, da der Editor für Lokale Gruppenrichtlinien (gpedit) dort nicht zur Verfügung steht.
Was die Lage besonders prekär macht ist die Problematik, dass Nutzer, die den von Microsoft empfohlenen Workaround umsetzen, eventuell das eigentliche Update verpassen, dass die Lücke endgültig stopfen soll. Wer den Workaround angewendet hat, sollte deswegen unbedingt überprüfen, ob Windows Update auf dem System noch ordnungsgemäß funktioniert.
Microsoft lässt sich Zeit
Microsoft war zwar an der Entdeckung der Sicherheitslücke beteiligt, hatte sich aber erst spät entschieden, öffentlich zu bestätigen, dass auch Windows betroffen ist. Wann die Firma einen Patch bereitstellen will, der die Lücke endgültig abdichtet, ist nicht bekannt. In seiner Sicherheitswarnung stellt sich das Unternehmen auf den Standpunkt, dass es bis jetzt keine Anzeichen dafür gibt, dass die Lücke ausgenutzt wird, um Nutzer anzugreifen. Sicherheitsforscher halten den Einsatz von Freak für konkrete Angriffe für kompliziert, für gut ausgestattete Gegner wie Geheimdienste liegt dies aber höchstwahrscheinlich trotzdem im Bereich des Möglichen.
Indes sollten Windows-Nutzer Pannen mit Patches und Updates bereits gewöhnt sein. Im letzten halben Jahr trat Microsoft beim Verteilen von Updates immer wieder ins Fettnäpfchen. (fab)
