Alle Windows-Versionen sind für ‘Freak’ verwundbar

Erst jetzt teilt Microsoft mit, dass auch verbreitete Betriebssystem-Versionen wie Windows 7 oder Windows 8 sowie sämtliche Windows Server ab Version 2003 betroffen sind. Bislang habe es keine Hinweise gegeben, dass die Microsoft-Produkte über das Leck angegriffen wurden.

Auch die Mehrzahl der Windows-Versionen ist für das Sicherheitsleck Freak anfällig, bestätigt Microsoft jetzt. Das Sicherheitsleck Freak, erlaubt so genannte Man-in-the-Middle-Angriffe auf verschlüsselte Internetverbindungen. Laut Microsoft sind von dem Leck alle Versionen ab Windows Server 2003, also auch Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie Windows RT und RT 8.1.

freakattack.com (Screenshot: ZDNet.de)

Der Fehler steckt einem Security Advisory zufolge in der für die Verschlüsselung verantwortlichen Komponenten Secure Channel (Schannel). Ein Angreifer könnte demnach einen Windows-Client zwingen, für die Verschlüsselung einen schwächeren RSA-Schlüssel mit einer Länger von nur 512 Bit zu verwenden. Das würde es ihm ermöglichen, Datenverkehr abzufangen und zu entschlüsseln.

Microsoft weist darauf hin, dass mit Ausnahme von Windows Server 2003 die Serverbetriebssysteme in der Voreinstellung nicht anfällig sind, weil der Export von Verschlüsselungen deaktiviert ist. Ab Windows Vista lässt sich zudem über den Gruppenrichtlinien-Editor ein Workaround einrichten.

Apples Safari-Browser ist durch die Sicherheitslücke Freak gefährdet. (Screenshot: ZDNet.de)
Apples Safari-Browser ist durch die Sicherheitslücke Freak gefährdet. (Screenshot: ZDNet.de)

Dafür muss die Reihenfolge der SSL-Verschlüsselungssammlungen verändert werden. Sie findet sich in den Richtlinien für Lokale Computer unter Computerkonfiguration, Administrative Vorlagen, Netzwerk im Ordner SSL-Konfigurationseinstellungen. Das Advisory enthält wiederum eine neue Verschlüsselungssammlung und die zugehörige Anleitung. Windows soll anschließend Verbindungen mit den für Freak-Angriffe benutzten schwachen Schlüsseln nicht mehr unterstützen. Die Lücke an sich wird dadurch aber nicht geschlossen.

Obwohl Microsoft an der Entdeckung der Schwachstelle beteiligt war, habe es sich erst gestern Abend entschlossen, die Anfälligkeit in Windows öffentlich zu machen. “Als die Sicherheitswarnung erstmals veröffentlicht wurde, lagen Microsoft keine Hinweise vor, dass das Problem für Angriffe auf Kunden benutzt wird”, teilte der Softwarekonzern mit.

Nach Abschluss seiner Untersuchung will Microsoft weitere Maßnahmen zum Schutz seiner Kunden ergreifen. Einen Fix werde es im Rahmen eines monatlichen Patchdays oder möglicherweise auch außer der Reihe bereitstellen. Den Patchday für den Monat März wird Microsoft am nächsten Dienstag abhalten.

Entdeckt hat die mehr als zehn Jahre alte Schwachstelle ein Forscherteam in Paris unter Leitung von Karthikeyan Bhargavan, Computerwissenschaftler an der staatlichen französischen Forschungseinrichtung Inria. Der Name Freak steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Durch die Schwachstelle kann die vermeintliche sichere Verschlüsselung zahlreicher Websites, darunter auch Whitehouse.gov, NSA.gov und FBI.gov, kompromittiert werden. Apple und Google arbeiten bereits an einem Fix. Neben den mobilen Browsern in iOS und Android ist auch die Desktop-Version des Apple-Browsers von der Schwachstelle betroffen. Die aktuellen Varianten von Chrome und Firefox sind hingegen immun gegen Freak. Auch der in Blackberry 10.3.1 integrierte Browser ist anfällig für Freak.

Unter freakattack.com können Nutzer überprüfen, ob ihr Browser von der Schwachstelle betroffen ist. Für eine Überprüfung von Servern kann ein Test auf www.ssllabs.com/ssltest/index.html durchgeführt werden. Eine Anleitung für eine korrekte Implementierung für SSL-Verschlüsselung hat Mozilla veröffentlicht.

[mit Material von Stefan Beiersmann, ZDNet.de]