Sicherheitswarnung: Kritische Sicherheits-Lücke in Windows Crypto-Bibliothek crypt32.dll [15.01.2020, CBö]
;

15. Januar 2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Niedersachsen-CERT (N-Cert) und Microsoft haben eine Sicherheitswarnung zu einer kritischen Sicherheitslücke in der Windows Crypto-Bibliothek crypto32.dll veröffentlicht.

Microsoft hat am gestrigen Patch-Day 14.01.2020 bereits Patches zur Behebung bereit gestellt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Windows CryptoAPI ECC-Zertifikate vollständig validiert.

Bitte installieren Sie das am 13.1.2020 von Microsoft verteilte Update umgehend!

Betroffen sind alle Versionen von Windows 10, Windows Server 2016 und Windows Server 2019.

Weitere Informationen finden Sie unter https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2020-0601  (technisch) und hier https://www.heise.de/security/meldung/NSA-meldet-Windows-Luecke-anstatt-sie-auszunutzen-4637752.html (Hintergrund).

Zusammenfassung:

Es besteht eine Spoofing-Sicherheitsanfälligkeit, die darauf basiert, wie Windows CryptoAPI (Crypt32.dll) ECC-Zertifikate (Elliptic Curve Cryptography, Kryptografie für elliptische Kurve) validiert.

Ein Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er mithilfe eines gefälschten Codesignaturzertifikats eine schädliche ausführbare Datei signiert und vorgibt, dass die Datei von einer vertrauenswürdigen, autorisierten Quelle stammt. Der Benutzer hätte keine Chance, zu erkennen, dass es sich um eine schädliche Datei handelt, da die digitale Signatur offensichtlich von einem vertrauenswürdigen Anbieter stammt.

Bei einer erfolgreichen Ausnutzung dieser Sicherheitsanfälligkeit könnte der Angreifer auch Man-in-the-Middle-Angriffe ausführen und vertrauliche Informationen in Benutzerverbindungen mit der betroffenen Software entschlüsseln.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Windows CryptoAPI ECC-Zertifikate vollständig validiert.