Windows 10 hat einen Sicherheitsfehler
So schwer die NSA offenbartes es
Lily Hay Newman Security01.14.2020 05:30 PM
Windows 10 Has a Security Flaw So Severe the
NSA Disclosed It
In a shift toward transparency, the National
Security Agency announced a bug that could have left over 900 million
PCs vulnerable to attack.
NSA Cybersecurity Directorate head Anne
Neuberger briefed reporters Tuesday about a critical Windows 10 bug that
the agency chose to disclose rather than weaponize.
Microsoft hat heute einen Patch für Windows 10
und Server 2016 veröffentlicht, nachdem die National Security Agency
eine schwerwiegende Sicherheitsanfälligkeit gefunden und offengelegt
hat. Es ist ein seltener, aber nicht beispielloser Tipp-off, der die
Schwere des Fehlers unterstreicht – und vielleicht auf neue Prioritäten
für die NSA hindeutet.
Der Fehler liegt im Windows-Mechanismus, um
die Legitimität von Software zu bestätigen oder sichere Webverbindungen
herzustellen. Wenn die Überprüfung selbst nicht vertrauenswürdig ist,
können Angreifer diese Tatsache ausnutzen, um Malware aus der Ferne zu
verteilen oder vertrauliche Daten abzufangen.
"Wir empfehlen den Netzbetreibern, die
Implementierung des Patches sofort zu beschleunigen, wie wir es auch tun
werden", sagte Anne Neuberger, Leiterin der Nsa-Direktion
Cybersicherheit, am Dienstag in einem Telefonat mit Reportern. "Als wir
eine breite kryptografische Schwachstelle wie diese identifizierten,
wandten wir uns schnell an das Unternehmen, um sicherzustellen, dass es
diese abmildern konnte."
"Es wird ein langer Tag für viele
Windows-Administratoren auf der ganzen Welt."
Kenn White, Open Crypto Audit Project
Der Fehler liegt speziell im CryptoAPI-Dienst
von Microsoft, der Entwicklern hilft, Software und Daten kryptografisch
zu "signieren" oder digitale Zertifikate zu generieren, die in der
Authentifizierung verwendet werden – alles zum Nachweis der
Vertrauenswürdigkeit und Gültigkeit, wenn Windows auf die Benutzer
überprüft. Geräte. Ein Angreifer könnte den Fehler möglicherweise
ausnutzen, um wichtige Schutzmaßnahmen zu untergraben und letztendlich
die Kontrolle über Die Geräte des Opfers zu übernehmen.
"Denken Sie daran, Malware zu signieren, als
ob microsoft ihr vertraut, oder verschlüsselten Webdatenverkehr
abzufangen", sagt David Kennedy, CEO der
Unternehmenssicherheitsbewertungsfirma TrustedSec, die früher bei der
NSA gearbeitet hat. "Das würde so vielen Schutzmaßnahmen völlig
entgehen."
Während Forscher und Cyberkriminelle
gleichermaßen die Verwundbarkeit untersuchen und es eilig haben, ein
Hacking-Tool zu entwickeln, das es ausnutzt, wird das Ausmaß des Risikos
für die Nutzer deutlicher. Aber ein Fehler in einer entscheidenden
kryptografischen Komponente von Windows ist sicherlich problematisch,
vor allem angesichts der Tatsache, dass Windows 10 das am häufigsten
verwendete Betriebssystem der Welt ist, das auf mehr als 900 Millionen
PCs installiert ist.
"Dies ist ein Kernstück des
Windows-Betriebssystems auf niedriger Ebene, das Vertrauen zwischen
Administratoren, regulären Benutzern und anderen Computern sowohl im
lokalen Netzwerk als auch im Internet herstellt", sagt Kenn White,
Sicherheitsdirektor bei MongoDB und Direktor der Öffnen Sie Crypto Audit
Project. "Wenn die Technologie, die das Vertrauen sichert, verwundbar
ist, könnte es katastrophale Folgen haben. Aber genau welche Szenarien
und Voraussetzungen sind erforderlich – wir analysieren noch. Es wird
ein langer Tag für viele Windows-Administratoren auf der ganzen Welt."
Die Entscheidung der NSA, die
Sicherheitsanfälligkeit zu teilen, erinnert an das NSA-Hacking-Tool
Eternal Blue, das einen Anfang 2017 gepatchten Windows-Bug ausnutzte.
Dieser Fehler war in allen versionen von Windows vorhanden, und die NSA
hatte von dem Fehler gewusst – und ihn für digitale Spionage ausgenutzt
– seit mehr als fünf Jahren. Schließlich verlor die NSA die Kontrolle
über Eternal Blue; ein paar Wochen, nachdem Microsoft eine Korrektur
veröffentlicht, eine mysteriöse Hacker-Gruppe bekannt als die Shadow
Brokers das Tool online durchgesickert. Kriminelle und
Nationalstaaten-Hacker hatten gleichermaßen einen Feldtag mit dem Tool,
als Windows-Maschinen auf der ganzen Welt langsam zu Patchen kamen.
Der Windows 10-Validierungsfehler könnte der
Versuch der NSA sein, ein ähnliches Debakel zu vermeiden. Und im
Gegensatz zu Eternal Blue, Neuberger machte einen Punkt zu sagen, dass
die Agentur nicht die Exploit selbst verwendet hatte.
Tatsächlich sagte Neuberger, dass die
Offenlegung des Codeüberprüfungsfehlers an Microsoft und die
Öffentlichkeit Teil einer neuen NSA-Initiative ist, in der die Behörde
ihre Schwachstellenergebnisse schneller und häufiger teilen wird. Die
Bemühungen werden parallel zum bestehenden Vulnerability Equities
Process des Nationalen Sicherheitsrats funktionieren, der die Bedeutung
der nationalen Sicherheit abwägt, Hacking-Tools geheim zu halten und
Schwachstellen offenzulegen.
Deshalb hat die NSA die Schwachstelle nicht
nur offengelegt, sondern ihre Rolle öffentlich gemacht. "Es ist schwer
für Unternehmen zu vertrauen, dass wir das wirklich ernst nehmen", sagte
sie, "und dass es absolute Priorität hat, sicherzustellen, dass
Schwachstellen gemildert werden können."
https://www.wired.com/story/nsa-windows-10-vulnerability-disclosure/