NSA meldet Windows Sicherheitslücke

Der US-Geheimdienst NSA hat eine Sicherheitslücke an Microsoft gemeldet. Eigenen Angaben zufolge wollen sie in Zukunft mehr Wissen über Schwachstellen teilen.
Die National Security Agency (NSA) steht erstmals öffentlich dazu, eine Sicherheitslücke gemeldet zu haben, damit der Anbieter diese schließen kann. Dabei geht es um eine Schwachstelle (CVE-2020-0601) in Windows 10 und verschiedenen Windows-Server-Versionen. Microsoft hat die Lücke nun zum Patchday geschlossen.

Der US-Geheimdienst hebt die Gefährlichkeit der Sicherheitslücke und der möglichen baldigen Ausnutzung hervor und rät Nutzern zügig zu patchen. Nach Angaben von Microsoft wurde die Lücke bislang nicht ausgenutzt.

Dem IT-Security-Journalisten Brian Krebs zufolge hat Microsoft unter anderem das US-Militär schon vor dem Patchday mit Sicherheitspatches versorgt. Ob das stimmt, ist unklar. Microsoft hat sich dazu geäußert und sagt, dass sie keine „production-ready“ Sicherheitsupdates vor dem Patchday veröffentlichen.

Einer Warnmeldung von Microsoft zufolge handelt sich um eine fehlerhafte Krypto-Bibliothek in Windows. Bei der Validierung von auf Basis elliptischer Kurven (ECC) signierten Zertifikaten durch die Windows CryptoAPI (Crypt32.dll) kommt es zu einem Fehler. So könnten Angreifer beispielsweise eine ausführbare Datei via Spoofing signieren und Windows würde denken, dass die Datei aus einer vertrauenswürdigen Quelle stammt. Microsoft stuft den Patch als „wichtig“ ein und legt eine künftige Ausnutzung der Lücke nahe.

In einem Beitrag der NSA kann man weitere Fakten der Schwachstelle einsehen. Dort steht unter anderem auch, wie man sich über Workarounds absichern kann, wenn eine Installation des Sicherheitsupdates nicht möglich ist.

Neuausrichtung?
Nach Angaben der Deputy National Managerin der NSA Anne Neuberger haben sie sich bewusst für die Kommunikation mit Microsoft entschieden. In der Vergangenheit hat der US-Geheimdienst Lücken für sich behalten und für eigene Zwecke ausgenutzt. Jetzt gibt es offensichtlich eine Kehrtwende. Neuberger spricht nun davon, dass es wichtig sei, Vertrauen aufzubauen, indem sie ihr Wissen über Hard- und Softwareschwachstellen teilen. Das Schließen von Lücken habe oberste Priorität.

Das umfasst auch, dass sie ihr Wissen nicht mehr geheim halten und von nun an veröffentlichen wollen. In welchem Maße das geschieht, bleibt abzuwarten. Wie Brian Krebs auf Twitter mitteilt, sei die Veröffentlichung der Windows-Lücke der Start einer neuen Initiative namens „Turn a New Leaf“.

[UPDATE, 15.01.2020 10:30 Uhr]

Position von Anne Neuberger bei der NSA im Fließtext korrigiert. (des)
https://www.heise.de/security/meldung/NSA-meldet-Windows-Luecke-anstatt-sie-auszunutzen-4637752.html?fbclid=IwAR3MJM1_eFxhCYZ6JYs_mtzEDfkO3kWmkeygA2HVI9qfBJ_hCL8cDmdJGo4