Sicherheitslücke

Jetzt updaten: Gravierende Windows-Schwachstelle entdeckt

Geheim­dienste wie die ameri­kani­sche NSA melden entdeckte IT-Sicher­heits­lücken nicht immer an die Hersteller, sondern nutzen sie mitunter heim­lich aus. Bei einer gravie­renden Verschlüs­selungs­schwach­stelle in Windows wurde aller­dings Micro­soft alar­miert.
Von dpa /

Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen
picture alliance/Matthias Balk/dpa Micro­soft hat eine brisante Sicher­heits­lücke in seinem Windows-Betriebs­system geschlossen, dank der sich böswil­lige Schad­soft­ware als legi­time Programme ausgeben konnte. Der Hinweis kam vom US-Abhör­dienst NSA, der die Schwach­stelle entdeckte und dem Soft­ware­konzern meldete. Die Lücke kann nur durch die Instal­lation des gestern veröf­fent­lichten Updates für Windows 10, 8.1 und Windows Server (2012, 2016 und 2019) geschlossen werden.

Für das veral­tete Betriebs­system Windows 7, das noch auf Millionen PCs läuft, wird es dagegen kein kosten­loses Sicher­heits­update mehr geben. In dem Hinweis zum monat­lichen Sicher­heits-Update verwies Micro­soft ledig­lich darauf, dass der Support für Windows 7 und ältere Server-Systeme am 14. Januar ausge­laufen sei. Firmen und Orga­nisa­tionen können über einen kosten­pflich­tigen Wartungs­vertrag noch mit dem notwen­digen Patch versorgt werden. Bei Privat­kunden dagegen können neue Sicher­heits­lücken nicht mehr geschlossen werden.

Windows akzep­tiere falsche Zerti­fikate

Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen Die NSA hat Microsoft auf eine schwerwiegende Windows-Sicherheitslücke hingewiesen
picture alliance/Matthias Balk/dpa Bei US-Geheim­diensten gibt es ein Abwä­gungs­verfahren, in dem entschieden wird, ob eine von ihnen entdeckte Sicher­heits­lücke still­schwei­gend ausge­nutzt oder zum Schließen gemeldet wird. Vor einigen Jahren wurde eine einst von der NSA genutzte Schwach­stelle öffent­lich bekannt und machte die Welle von Angriffen mit dem WannaCry-Trojaner möglich. Das Schad­programm verschlüs­selte Computer und forderte Löse­geld. Betroffen waren unter anderem briti­sche Kran­kenhäuser und Anzeigen auf Bahn­höfen in Deutsch­land.

Im aktu­ellen Fall fand die NSA heraus, dass Windows unter Umständen gefälschte Vertrau­enswür­digkeits­zerti­fikate von Soft­ware akzep­tierte. Solche Zerti­fikate sind in vielen Fällen die Voraus­setzung dafür, dass Programme auf Compu­tern laufen dürfen. Dieses System sei grund­sätz­lich weiterhin sicher, nur seine Umset­zung in diesem konkreten Fall müsse korri­giert werden, betonte die NSA.

Tech­nisch gesehen hat der Fehler bei der Prüfung von Signa­turen mit einer Schwach­stelle in einer Soft­ware-Kompo­nente für die Verschlüs­selungs­technik (Windows CryptoAPI) zu tun. Das gilt sowohl für Code­signa­turen als auch für TLS-Zerti­fikate. Bei einem Angriff habe der Benutzer keine Möglich­keit, eine Datei als bösartig zu erkennen, da die digi­tale Signatur scheinbar von einem vertrau­enswür­digen Anbieter stammt, erläu­terte Micro­soft.

Nach dem Suppor­tende von Windows 7 ist der Umstieg auf Windows 10 empfeh­lens­wert. Wir zeigen die Umstel­lung Schritt für Schritt.

Mehr zum Thema Windows 10