Sicherheitslücke Freak steckt auch in Windows

Die kürzlich bekannt gewordene, Freak genannte Sicherheitslücke steckt nicht nur in diversen Browsern, sodnern auch in Windows. Das hat Microsoft jetzt bestätigt. Demnach sind darüber Man-in-the-Middle-Angriffe gegen verschlüsselte Internetverbindungen möglich. Betroffen sind alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1.

Einem Security Advisory zufolge steckt der Fehler in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel), die im November schon einmal in die Schlagzeilen geraten war. Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen RSA-Schlüssel mit einer Länge von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.

Microsoft weist darauf hin, dass mit Ausnahme von Windows Server 2003 die Serverbetriebssysteme in der Voreinstellung nicht anfällig sind, weil der Export von Verschlüsselungen deaktiviert ist. Ab Windows Vista lässt sich zudem über den Gruppenrichtlinien-Editor ein Workaround einrichten.

Dafür muss die Reihenfolge der SSL-Verschlüsselungssammlungen verändert werden. Sie findet sich in den Richtlinien für Lokale Computer unter Computerkonfiguration, Administrative Vorlagen, Netzwerk im Ordner SSL-Konfigurationseinstellungen. Das Advisory enthält wiederum eine neue Verschlüsselungssammlung und die zugehörige Anleitung. Windows soll anschließend Verbindungen mit den für Freak-Angriffe benutzten schwachen Schlüsseln nicht mehr unterstützen. Die Lücke an sich wird dadurch aber nicht geschlossen.

Obwohl Microsoft an der Entdeckung der Schwachstelle beteiligt war, hat es sich erst gestern Abend entschlossen, bekannt zu machen, dass sie auch in Windows steckt. “Als die Sicherheitswarnung erstmals veröffentlicht wurde, lagen Microsoft keine Hinweise vor, dass das Problem für Angriffe auf Kunden benutzt wird”, teilt der Softwarekonzern mit.Nach Abschluss seiner Untersuchung will Microsoft weitere Maßnahmen ergreifen. Einen Fix werde es im Rahmen eines monatlichen Patchdays oder möglicherweise außerplanmäßig bereitstellen. Der März-Patchday findet am kommenden Dienstag statt.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[mit Material von ZDNet.de]