Geheimdienste wie die amerikanische NSA melden entdeckte IT-Sicherheitslücken nicht immer an die Hersteller, sondern nutzen sie mitunter heimlich aus. Unter einer gravierenden Verschlüsselungs- Schwachstelle in Windows wurde durchaus Microsoft alarmiert.
Microsoft hat eine brisante Sicherheitslücke in seinem Windows-Operating system geschlossen, dank dieser sich böswillige Schadsoftware wie legitime Programme zuteilen konnte. Welcher Rauchsignal kam vom US-Abhördienst NSA, dieser die Schwachstelle entdeckte und dem Softwarekonzern meldete. Die Lücke kann nur durch die Installation des am zweiter Tag der Woche veröffentlichten Updates pro Windows 10, 8.1 und Windows Server (2012, 2016 und 2019) geschlossen werden.
Pro dasjenige veraltete Operating system Windows 7, dasjenige noch hinaus Mio. PCs läuft, wird es dagegen kein kostenloses Sicherheitsupdate mehr schenken. In dem Rauchsignal zum monatlichen Sicherheits-Update verwies Microsoft lediglich darauf, dass dieser Support pro Windows 7 und ältere Server-Systeme am zweiter Tag der Woche (14. Januar) ausgelaufen sei. Firmen und Organisationen können obig zusammensetzen kostenpflichtigen Wartungsvertrag noch mit dem notwendigen Patch versorgt werden. Unter Privatkunden dagegen können neue Sicherheitslücken nicht mehr geschlossen werden.
Ausnutzen oder Melden? Abwägungsverfahren wohnhaft bei US-Geheimdiensten
Unter US-Geheimdiensten gibt es ein Abwägungsverfahren, in dem kategorisch wird, ob eine von ihnen entdeckte Sicherheitslücke stillschweigend ausgenutzt oder zum Schließen gemeldet wird. Vor einigen Jahren wurde eine einst von dieser NSA genutzte Schwachstelle publik veröffentlicht und machte die Woge von Angriffen mit dem WannaCry-Trojanisches Pferd möglich. Dies Schadprogramm verschlüsselte Computer und forderte Lösegeld. Betroffen waren unter anderem britische Krankenhäuser und Signifizieren hinaus Bahnhöfen in Deutschland.
Im aktuellen Sachverhalt fand die NSA hervor, dass Windows unter Umständen gefälschte Vertrauenswürdigkeitszertifikate von Software akzeptierte. Solche Zertifikate sind in vielen Fällen die Voraussetzung zu diesem Zweck, dass Programme hinaus Computern laufen die Erlaubnis haben. Dieses System sei in der Regel weiterhin sicher, nur seine Umsetzung in diesem konkreten Sachverhalt müsse korrigiert werden, betonte die NSA.
Technisch gesehen hat dieser Fehler wohnhaft bei dieser Prüfung von Signaturen mit einer Schwachstelle in einer Software-Komponente pro die Verschlüsselungstechnik (Windows CryptoAPI) zu tun. Dies gilt sowohl pro Codesignaturen wie sogar pro so genannte TLS-Zertifikate. Unter einem Übergriff habe dieser Benutzer keine Möglichkeit, eine File wie herzlos zu wiedererkennen, da die elektronische Signatur virtuell von einem vertrauenswürdigen Provider stammt, erläuterte Microsoft.