[English] Google-Sicherheitsexperte Tavis Ormandy von Googles Sicherheitsinitiative Project Zero hat heute bekannt gegeben, dass eine ungepatchte Schwachstelle in der Hauptkryptobibliothek Symcrypt des Betriebssystems von Microsoft eine Denial-of-Service (DoS)-Bedingung in Windows 8-Servern und höher verursachen kann.
Anzeige
Die Sicherheitslücke war von Tavis Ormandy von Googles Sicherheitsinitiative Project Zero entdeckt und an Microsoft gemeldet worden. Nachdem die 90-Tage-Frist nach der Meldung verstrichen ist, veröffentlicht Ormandy nun die betreffenden Informationen und weist auf Twitter darauf hin:
I noticed a bug in SymCrypt, the core library that handles all crypto on Windows. It's a DoS, but this means basically anything that does crypto in Windows can be deadlocked (s/mime, authenticode, ipsec, iis, everything). Microsoft committed to fixing it in 90 days, then didn't.
— Tavis Ormandy (@taviso) 11. Juni 2019
Die Information besagt, dass die Schwere einer Schwachstelle in SymCrypt zwar relativ gering sei. Wer diese ausnutzt, man könnte eine ganze Windows-Flotte relativ leicht abschalten. Ormandy hat das Ganze hier dokumentiert und dort auch Test-Zertifikate zum Triggern der Schwachstelle bereitgestellt.
Fehler in SymCrypt
Es gibt einen Fehler in der Verschlüsselungsbibliothek SymCrypt, dies seit Windows 8 für Symmetrische Verschlüsselungsfunktionen verwendet wird. Windows 10 verwendet die Bibliothek seit Oktober 2017 für alle kryptographischen Funktionen.
Anzeige
Ormandy ist aufgefallen, dass man die Multipräzisions-Arithmetischen Routinen mit bestimmten Daten in eine Endlosschleife bei der Berechnung der schicken kann. Das wirkt sich wie ein Denial-of-Service-Angriff (DoS) aus. Ormandy konnte ein X.509-Zertifikat erstellen, das den Fehler auslöst.
Bei Tests wurde festgestellt, dass die Einbettung des präparierten Zertifikats in eine S/MIME-Nachricht, eine Authentifizierungssignatur, eine Channel-Verbindung usw. effektiv jeden Windows-Server (z.B. ipsec, iis, exchange, etc.) zum Hängen bleiben zwingt. Je nach Kontext hilft nur noch ein Neustart der Maschine, um wieder arbeiten zu können. Ormandy schreibt, dass offensichtlich viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie z.B. Antivirenprogramme), diese Routinen mit nicht vertrauenswürdigen Daten auf,. Das führt dann zu einem Stillstand der Maschine.
Nutzer können dies überprüfen und werden feststellen, dass der folgende Befehl nie abgeschlossen wird:
C:\> certutil.exe testcase.crt
Ormandy stuft die Schwachstelle mit einem niedrigen Bedrohungsgrad ein. Von Microsoft liegt noch kein Patch vor, so dass Ormandy die Informationen nach der 90-tägigen Wartefrist offen legt. Auf Github ist der Quellcode eines Moduls zu finden, um die Schwachstelle auszunutzen. Golem hat diesen deutschsprachigen Beitrag zum Thema und von Bleeping Computer gibt es diesen Artikel dazu. (via)
Anzeige
Es reicht eine entsprechend präparierte Email um den Exchange-Server lahmzulegen? Es reicht, den Antivirus mit solch einer Datei zu konfrontieren, und der Rechner wird lahmgelegt? Das soll ein "niedriger Bedrohungsgrad" sein?
Natürlich, ein einfacher Neustart reicht ja zur Behebung des Problems aus… (Sarkasmus nach Belieben hinzufügen)