ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/beispiel-exploits-fuer-windows-krypto-luecke-verfuegbar,3337055

CurveBall-Lücke

Beispiel-Exploits für Windows Krypto-Lücke verfügbar

Datum:17.01.2020
Autor(en):Frank Ziemann
Mehrere Sicherheitsforscher haben Demo-Exploits für die so genannte CurveBall-Lücke in Windows 10 veröffentlicht. Microsoft hat am 14. Januar Sicherheits-Updates bereitgestellt, um die Schwachstelle zu beheben.

Bereits kurze Zeit nach dem Bekanntwerden der durch den US-Geheimdienst NSA gemeldete Sicherheitslücke CVE-2020-06011 in der Windows Krypto-Schnittstelle (crypt32.dll) haben mehrere Sicherheitsforscher PoC-Code (Proof of Concept), also Beispiele für die erfolgreiche Ausnutzung der Schwachstelle veröffentlicht. Sie demonstrieren damit, dass die von der unbehandelten Sicherheitslücke ausgehende Gefahr nicht nur rein theoretischer Natur ist. Die mittlerweile als „CurveBall“, „NSACrypt“ oder auch „ChainOfFools“ bezeichnete Schwachstelle hatte bereits kurz vor Microsofts Patch Day2 medialen Staub aufgewirbelt, weil sie durch die NSA gemeldet3 wurde.

Fachleute des Schweizer Sicherheitsunternehmens Kudelski Security4 haben ein Python-Script veröffentlicht, das in etwa 50 Zeilen Code zeigt, wie ein Fake-Zertifikat entstehen kann, dem die anfällige Krypto-Schnittstelle in Windows vertrauen würde. Auch ein dänischer Forscher mit dem Nickname „Ollypwn“ hat auf Github Beispiel-Code veröffentlicht. Er liefert auch gleich eine Anleitung mit, wie die Schwachstelle ausgenutzt werden kann. Ein dritter Forscher, Saleem Rashid, hat seinen PoC-Code nicht veröffentlicht.

Eine Möglichkeit, die Schwachstelle auszunutzen, ist ein Zertifikat zu erstellen, mit dem man ein schädliches Programm signieren kann (Code signing). Windows würde das Programm als vertrauenswürdig ansehen und nicht als Malware einstufen. Auch Antivirus-Software anderer Hersteller könnte darauf hereinfallen, sofern es sich auf die Windows Krypto-Schnittstelle verlässt.

Eine andere Möglichkeit ist ein Zertifikat, mit dem der TLS-verschlüsselte Netzwerkdatenverkehr (HTTPS) per MitM-Attacke (Man in the Middle) kompromittiert wird. Der Angreifer kann sich mit dem Fake-Zertifikat gegenüber den beiden eigentlichen Kommunikationspartnern, die er belauschen will, als der jeweils andere Partner ausweisen. So erhält der Angreifer letztlich den Klartext der Kommunikation.

Lesen Sie auch: Windows 7 - Ultimatives FAQ zum Support-Ende5


Eine Ausnutzung der CurveBall-Lücke für breit angelegte Malware-Attacken erscheint weniger erfolgversprechend, da neben der anfälligen Zertifikatsprüfung auch noch weitere Schutzmaßnahmen existieren, die nicht auf ein Zertifikat vertrauen und daher greifen sollten. Lauschangriffe auf Datenverkehr im Web sind eher etwas für Profis als für Script-Kiddies, da sie für eine erfolgreiche Nutzung dieser Lücke eine geeignete Infrastruktur erfordern. Daher sind gezielte Angriffe auf die Kommunikation von Unternehmen, Behörden und NGOs durch staatsnahe Tätergruppen wahrscheinlicher.

Dennoch sollte niemand das Einspielen der Sicherheits-Updates vom 14. Januar unnötig lange hinaus schieben. Neben Windows 10 sind auch die zugehörigen Windows Server-Versionen (Server 2016 / 2019) anfällig. Laufen auf einem noch nicht aktualisierten Server Kommunikationsdienste, etwa Mail-Server oder Web-Proxy, könnte er Ziel von Angriffen werden. Berichte über tatsächliche Angriffe gibt es bislang nicht.

Links im Artikel:

1 https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2020-0601
2 https://www.pcwelt.de/news/Microsoft-schliesst-Krypto-Luecke-in-Windows-10736158.html
3 https://www.channelpartner.de/a/nsa-entdeckt-gefaehrliche-windows-luecke,3337034
4 https://research.kudelskisecurity.com
5 https://www.channelpartner.de/a/ultimative-faq-zum-support-ende,3337025
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.