Jetzt updaten: Gravierende Windows-Schwachstelle entdeckt
Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen
picture alliance/Matthias Balk/dpa
Microsoft hat eine brisante Sicherheitslücke in
seinem Windows-Betriebssystem geschlossen, dank der sich böswillige
Schadsoftware als legitime Programme ausgeben konnte. Der Hinweis kam
vom US-Abhördienst NSA, der die Schwachstelle entdeckte und dem
Softwarekonzern meldete. Die Lücke kann nur durch die Installation
des gestern veröffentlichten Updates für Windows 10, 8.1 und
Windows Server (2012, 2016 und 2019) geschlossen werden.
Für das veraltete Betriebssystem Windows 7, das noch auf Millionen PCs läuft, wird es dagegen kein kostenloses Sicherheitsupdate mehr geben. In dem Hinweis zum monatlichen Sicherheits-Update verwies Microsoft lediglich darauf, dass der Support für Windows 7 und ältere Server-Systeme am 14. Januar ausgelaufen sei. Firmen und Organisationen können über einen kostenpflichtigen Wartungsvertrag noch mit dem notwendigen Patch versorgt werden. Bei Privatkunden dagegen können neue Sicherheitslücken nicht mehr geschlossen werden.
Windows akzeptiere falsche Zertifikate
Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen
picture alliance/Matthias Balk/dpa
Bei US-Geheimdiensten gibt es ein Abwägungsverfahren, in dem
entschieden wird, ob eine von ihnen entdeckte Sicherheitslücke
stillschweigend ausgenutzt oder zum Schließen gemeldet wird. Vor
einigen Jahren wurde eine einst von der NSA genutzte Schwachstelle
öffentlich bekannt und machte die Welle von Angriffen mit dem
WannaCry-Trojaner möglich. Das Schadprogramm verschlüsselte Computer
und forderte Lösegeld. Betroffen waren unter anderem britische
Krankenhäuser und Anzeigen auf Bahnhöfen in Deutschland.
Im aktuellen Fall fand die NSA heraus, dass Windows unter Umständen gefälschte Vertrauenswürdigkeitszertifikate von Software akzeptierte. Solche Zertifikate sind in vielen Fällen die Voraussetzung dafür, dass Programme auf Computern laufen dürfen. Dieses System sei grundsätzlich weiterhin sicher, nur seine Umsetzung in diesem konkreten Fall müsse korrigiert werden, betonte die NSA.
Technisch gesehen hat der Fehler bei der Prüfung von Signaturen mit einer Schwachstelle in einer Software-Komponente für die Verschlüsselungstechnik (Windows CryptoAPI) zu tun. Das gilt sowohl für Codesignaturen als auch für TLS-Zertifikate. Bei einem Angriff habe der Benutzer keine Möglichkeit, eine Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt, erläuterte Microsoft.
Nach dem Supportende von Windows 7 ist der Umstieg auf Windows 10 empfehlenswert. Wir zeigen die Umstellung Schritt für Schritt.