Bedrohungsanalyse

    Microsoft veröffentlicht Windows CryptoAPI / CVE-2020-0601 Patch

    by Renatta Siewert
    windows-keyboard-unsplash.jpg

    Am ersten Patch Tuesday des Jahres 2020 hat Microsoft einen neuen Patch für eine schwerwiegende Windows-Schwachstelle veröffentlicht, CVE-2020-0601, oder die Windows CryptoAPI Spoofing-Schwachstelle. Die Sicherheitslücke hat schwerwiegende Auswirkungen auf Computer mit 32- oder 64-Bit-Windows 10-Betriebssystemen, einschließlich Windows Server-Versionen 2016 und 2019. Lassen Sie uns untersuchen, wie und warum der Patch für alle Unternehmen wichtig ist.

    "Eine Spoofing-Schwachstelle besteht in der Art und Weise, wie Windows CryptoAPI (Crypt32.dll) Elliptic Curve Cryptography (ECC)-Zertifikate validiert", heißt es in einer Erklärung von Microsoft. "Ein Angreifer könnte die Schwachstelle ausnutzen, indem er ein gefälschtes Code-Signatur-Zertifikat verwendet, um eine bösartige ausführbare Datei zu signieren, die den Anschein erweckt, dass die Datei aus einer vertrauenswürdigen, legitimen Quelle stammt. Der Benutzer hätte keine Möglichkeit zu erkennen, dass die Datei bösartig ist, da die digitale Signatur von einem vertrauenswürdigen Anbieter zu stammen scheint. Ein erfolgreicher Angriff könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen mit der betroffenen Software zu entschlüsseln."

    Die Entdeckung der Sicherheitslücke wurde erstmals der Nationalen Sicherheitsbehörde der USA (NSA) zugeschrieben.

    Experten zufolge könnte diese Schwachstelle weitreichende Sicherheitsauswirkungen auf wichtige Windows-Funktionen wie die Desktop- und Server-Authentifizierung, den Schutz sensibler Daten, die von Microsofts Internet Explorer/Edge-Browsern verwaltet werden, und die Vielzahl der mit Windows verbundenen Anwendungen und Tools von Drittanbietern haben. Ebenso besorgniserregend, so Brian Krebs von KrebsOnSecurity.com, ist, dass eine Schwachstelle in crypt32.dll auch dazu missbraucht werden könnte, die mit einer bestimmten Software verbundene digitale Signatur zu fälschen. Eine solche Schwachstelle könnte von Angreifern ausgenutzt werden, um Malware als gutartiges Programm erscheinen zu lassen, das von einem legitimen Softwareunternehmen erstellt und signiert wurde.

    "Es wurden zwar noch keine Exploits der Schwachstelle in freier Wildbahn gefunden, aber es ist genau die Art von Schwachstelle, die Angreifer voraussichtlich ausnutzen werden", so Dr. Kiri Addison, Head of Data Science for Threat Intelligence & Overwatch bei Mimecast.

    Das Sicherheitsupdate behebt die Sicherheitslücke, indem es sicherstellt, dass Windows CryptoAPI ECC-Zertifikate vollständig validiert.

    "Diese Schwachstelle kann definitiv dazu verwendet werden, Code-Signatur-Zertifikate zu fälschen, um sich als vertrauenswürdige und legitime Quellen auszugeben", sagt Meni Farjon, Chief Scientist of Advanced Malware Detection bei Mimecast. "Mit anderen Worten: Ein Angreifer könnte seine Trojaner im Wesentlichen von vertrauenswürdigen Instanzen signieren und verifizieren lassen und sich so der Entdeckung entziehen, indem er diese Spoofing-Schwachstelle nutzt."

    Die NSA ( ) hat eine Erklärung veröffentlicht ( ), in der sie den Nutzern rät, die Software zu aktualisieren, und gibt Hinweise zur Risikominderung und zur Priorisierung der Aktualisierungen in Umgebungen mit der betroffenen Software. Jetzt, da die Nachricht weit verbreitet wurde, ist es wahrscheinlich, dass Angreifer versuchen werden, Benutzer auszunutzen, die den Patch nicht implementiert haben, da es einige Zeit dauern kann, bis Patches auf Unternehmensebene auf breiter Basis ausgeführt werden. Darüber hinaus kann die Verwendung eines Patches eines Drittanbieters oder eines nicht akkreditierten Patches dazu führen, dass Benutzer einer größeren Bedrohung durch Cyber-Kriminelle ausgesetzt sind.

    Wie bei jeder schwerwiegenden Sicherheitslücke wie dieser rät Mimecast Unternehmen und Einzelpersonen dringend, so bald wie möglich Patches mit den offiziellen Updates von Microsoft zu installieren.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang