[English]Wenn die Gerüchte stimmen, kommt heute Abend ein kritischer Patch für die CryptoAPI diverser Windows-Versionen. Das US-Militär soll den Fix bereits vorab erhalten haben. Ergänzung: Inzwischen sind Details zur 'Spoofing-Schwachstelle' CVE-2020-0601 bekannt. Betroffen sind nicht alle Windows-Versionen, wie ursprünglich vermutet, sondern nur Windows 10, Windows Server 2016 und 2019.
Anzeige
Bin ein wenig spät dran, da ich mir gerade einen Artikel zum Supportende von Windows 7 aus den Fingern gesogen habe. Nach allgemeiner Definition erreicht Microsoft Windows 7 SP1 heute ja sein Supportende – und manche Medien schreiben, dass das Teil ab morgen unsicher sei. Daher ist das aktuelle Gerücht mal wieder ein Lehrbeispiel, dass der Teufel im Detail steckt.
Erster Patchday in 2020
Am 14. Januar 2020 ist der erste reguläre Patchday von Microsoft in diesem Jahr. Windows 7 bekommt dann letztmalig seine geplanten Sicherheitsupdates. Aber auch andere Windows-Versionen und weitere Microsoft-Produkte werden wohl gepatcht. So weit so normal.
Sicherheitsgeflüster
Ich hatte es die Nacht bereits bei askwoody.com im Newsletter als Andeutung vernommen. Woody Leonhard bezieht sich auf einen Tweet von Will Dormann (Sicherheitsanalyst beim CERT/CC):
I get the impression that people should perhaps pay very close attention to installing tomorrow's Microsoft Patch Tuesday updates in a timely manner. Even more so than others.
I don't know… just call it a hunch?
¯\_(ツ)_/¯— Will Dormann (@wdormann) January 13, 2020
Anzeige
Nun ja, jeder gute Administrator patcht zeitnah, so er weiß, dass Microsoft ihm nicht ein Ei mit Bugs oder Installationsproblemen ins Nest gelegt hat. Ich bin dann aber bei Brian Krebs auf etwas mehr Details gestoßen.
Quellen berichten KrebsOnSecurity, dass Microsoft am heutigen Dienstag ein kritisches Sicherheitsupdate veröffentlichen wird. Dieses soll eine außerordentlich schwerwiegende Sicherheitslücke in einer zentralen kryptographischen Komponente beheben, die in allen Versionen von Windows vorhanden ist.
Die von Krebs zitierten Quellen sagen, dass Microsoft stillschweigend einen Patch für die Fehlerbehebung an das US-Militär und andere hochwertige Kunden/Ziele, die wichtige Internet-Infrastrukturen verwalten, geliefert habe. Diese Organisationen wurden jedoch zur Unterzeichnung einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) gebeten. Diese hindert sie daran, vor dem 14. Januar Details zum Fehler zu veröffentlichen.
Ergänzung: Inzwischen hat der US-Geheimdienst (NSA) in einem Gespräch mit Medien bestätigt, dass man die Schwachstelle in den Kryptografie-Funktionen gefunden, und diesmal nicht geheim gehalten, sondern an Microsoft gemeldet habe.
Schwachstelle in crypt32.dll
Laut den Quellen von Krebs liegt die Sicherheitslücke in der Windows-Bibliothek crypt32.dll. Diese Bibliothek ist laut Microsoft für die Handhabung der "Zertifikats- und kryptographische Nachrichtenfunktionen in der CryptoAPI" zuständig. Die Microsoft CryptoAPI ermöglicht es Entwicklern, Windows-Anwendungen kryptographisch abzusichern. Dazu gibt es Funktionen zum Ver- und Entschlüsseln von Daten mit Hilfe digitaler Zertifikate.
Eine kritische Sicherheitslücke in dieser Windows-Komponente könnte weitreichende Auswirkungen auf die Sicherheit einer Reihe wichtiger Windows-Funktionen haben. Das reicht von der Authentifizierung auf Windows-Desktops und -Servern, und geht bis hin zum Schutz sensibler Daten, die von Browsern oder Anwendungen mittels der API verschlüsselt werden.
Krebs spekuliert, dass ein Fehler in crypt32.dll auch dazu missbraucht werden könnte, die digitale Signatur für Softwarepakete auszuhebeln bzw. zu fälschen. Eine solche Schwachstelle könnte von Angreifern ausgenutzt werden, um Malware als gutartiges Programm erscheinen zu lassen, das von einer legitimen Softwarefirma hergestellt und signiert wurde.
Ach ja, den Seitenhieb kann ich mir jetzt – im Hinblick auf die Apologeten, die den schnellen Wechsel von Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen – nicht verkneifen. Die Schwachstelle soll in allen Windows-Versionen stecken. Und die DLL für die CryptoAPI wurde vor über 20 Jahren eingeführt, sprich das alte Zeugs steckt auch im ultramodernen Windows as a service. Schau'n mer mal, was es heute Abend gibt.
Ergänzung: Inzwischen sind Details zur 'Spoofing-Schwachstelle' CVE-2020-0601 bekannt.
Eine Spoofing-Schwachstelle besteht in der Art und Weise, wie die Windows CryptoAPI (Crypt32.dll) ECC-Zertifikate (Elliptic Curve Cryptography) validiert.
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei verwendet, so dass der Eindruck entsteht, die Datei stamme aus einer vertrauenswürdigen, legitimen Quelle. Der Benutzer hätte keine Möglichkeit, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt.
Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln.
Das Sicherheitsupdate behebt die Sicherheitslücke, indem es sicherstellt, dass die Windows CryptoAPI ECC-Zertifikate vollständig validiert.
Betroffen sind Windows 10, Windows Server 2016 und 2019 – also alle super modernen Microsoft Betriebssysteme. Die Schwachstellen werden mit den kumulativen Updates vom 14. Januar 2020 geschlossen (siehe CVE-2020-0601 und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)).
Anzeige
>Günni schrieb: "im Hinblick auf die Apologeten, die den schnellen Wechsel von
>Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen"
>
Nunja, Windows 10 ist auch nur ein Windows 8 mit mehr Telemetrie und Windows 8 ist auch nur ein Reskin von Windows 7 und Windows 7 ist auch nur ein Vista ohne Kernel Dispatcher lock. Von daher wird jeder Bug mitgenommen, den es vorher schon gab.
In Wahrheit sind da natürlich noch mehr (sinnvolle) Änderungen die ich auslasse, aber wenn wir die Telemetrie nicht hätten wäre Windows 10 eine gute Sache. Ich empfehle den Wechsel trotzdem solange man kein Arzt, Behörde, etc ist.
Ich hoffe die Kryptokalypse kommt heute, um die Patchverweigerer zu quälen, egal welches Windows benutzt wird :)
Installiert das Zeug ob 7, 8 oder 10, ihr habt dafür auch bezahlt! Impf- und Patchverweigerer sind Ewiggestrige.
"…Ach ja, den Seitenhieb kann ich mir jetzt – im Hinblick auf die Apologeten, die den schnellen Wechsel von Windows 7 auf das 'modernere und sicherere' Windows 10 dringendst empfehlen…"
Sehe ich auch so. Der Teufel wird in leuchtenden Farben an die Wand gemalt.
Zuerst müssen Schwachstellen auftauchen, und dann müssen die von Angreifern noch irgendwie genutzt werden können. Dass man auch eine Security-Lösung eines Drittanbieters installieren kann, erzählt natürlich niemand.
Windows 7 soll eine tickende Zeitbombe sein :-) https://www.20min.ch/digital/news/story/200-Mio–PCs-sind-eine–tickende-Zeitbombe–11354131
Ich frage mich, ob da nicht die "Sicherheitsexperten" eine tickende Zeitbombe sind, und ins Irrenhaus gehören, weil sonst Gefahr für einen Amok-Lauf besteht.
Soweit die Sicht eines Normalverbrauchers.
Der einzige Grund warum von diesen 200 Millionen PCs noch nicht mal 10 Millionen jemals infiziert werden ist halt, das jeder Router heutzutage eine integrierte Firewall hat, sonst hätten die alten SMB-Lücken damals mehr Effekt gehabt.
Fazit, die Nutzer müssen die Malware noch selbst installieren, wie beim Beispiel Ransomware: "Klicken Sie auf JA um diese E-Mail zu lesen!"
Immerhin sind nur 4,6% der Nutzer so gnadenlos "schlau" wie Brot um wahllos auf die offensichtliche Malware im Anhang zu klicken:
https://seclab.stanford.edu/courses/cs203/lectures/humanfactor.pdf
LOL @ Firewall. NAT ist keine Firewall…
pfsense / ipv6
wirkt aber wie eine (primitive) stateful Firewall mit exakt zwei Regeln:
LAN –> WAN: alles erlaubt
WAN –> LAN: nichts erlaubt
Die meisten NAT-Router kennen dann noch primitiv-"DMZ" (also WAN –> Exposed Host: alles erlaubt) und die meisten gar port forwarding. Spätestens dann ist der Schritt zur "echten" (klassischen) Firewall nicht mehr weit.
Deep Packet Inspection, Aufbrechen von TLS und ähnliches, was moderne Firewalls (leider?) können ist natürlich eine andere Baustelle.
Noch ein Proleten-Blatt, das auf Panik macht:
https://www.watson.ch/digital/windows/739610470-microsoft-windows-7-darum-ist-ab-heute-jeder-vierte-pc-unsicher
Genau ab heute sind alle Win 7 PCs unsicher :-)
Als MS im März 2016 die CryptoAPI verändert hatte, da funktionierten manche Bluetooth-Treiber von Intel nicht mehr, weil sie noch die ältere Verschlüsselung brauchten.
Das Problem war, dass Intel für ältere Chips auch keine Treiber mehr rausgeben wollte.
Das heißt dann, die Hardware ist unbrauchbarer Müll geworden.
Totgepatcht aus "Sicherheitsgründen".
Was nützt mir ein sicheres Verfahren, wenn das Gerät dann gar nicht mehr ansprechbar ist?
Du kennst doch den gesprungen Witz: 'Die Microsoft Cloud ist sicher, die steht schon seit Tagen und ist nicht erreichbar'. Geht auch mit Updates ;-).
Es wird sicher, weil es nicht mehr benutzbar ist :-)
doppelpost, sorry kann weg :(
Da wird der Crypto-Fehler beschrieben:
https://www.kb.cert.org/vuls/id/849224/
A spoofing vulnerability exists in the way Windows CryptoAPI (Crypt32.dll) validates Elliptic Curve Cryptography (ECC) certificates.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
Die Funktion CertGetCertificateChain() in der Crypt32.dll hat also die ECC-Zertifikate nicht richtig überprüft.
Dadurch können gefälschte Zertifikate als echt akzeptiert werden.
SPON schreibt, der Tippgeber für die Lücke wäre die NSA
https://www.spiegel.de/netzwelt/web/windows-10-nsa-warnte-microsoft-vor-gefaehrlicher-sicherheitsluecke-a-e5780269-1ea0-4426-88ca-dad22328268c
Am Ende des Artikels erinnert SPON an EternalBlue, eine weitere Schwachstelle, welche die NSA etwa 2016/2017 an Microsoft verraten hat. Zuvor hat NSA diese Schwachstelle selbst ausgenutzt, um in Systeme einzubrechen. Dann gelangte die Lücke aber in Hackerhände, was dann der ausschlaggebende Grund für die NSA war, diese an MS zu melden.
Hoffen wir mal das Beste…!
Übrigens, mein Win 10 1909 fordert gerade zum Neustart auf. Mal gucken, bis gleich!
Wurde installiert:
https://support.microsoft.com/en-us/help/4528760/windows-10-update-kb4528760
https://support.microsoft.com/en-us/help/4532938/kb4532938-cumulative-update-for-net-framework – Fixt folgende Lücken:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0605
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0606
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0646
Und wie immer:
https://support.microsoft.com/en-us/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo
Nichtmal der Chromium-Edge ist dabei.
für Win 7:
1.
KB4536952 – Servicing Stack Update (SSU) (exklusiv installieren, also vorher neustarten und am besten hinterher nochmal neustarten und ca 10 MInuten warten bevor man weitere Updates installiert)
2.
KB4534314 – Security-only
(KB4534310 – Rollup)
3.
KB4534251 – Internet Explorer 11
4.
KB4535102 – net Framework Rollup
Installation und Neustart funktionierten problemlos.
Nach dem Neustart war die CPU-Auslastung allerdings für eine Minute höher als sonst.
Vielleicht werden erstmal die Zertifikate neu überprüft?
ist meiner Erfahrung nach bei jedem bisherigen .net Framework-Update auch schon so gewesen und daher normal. ✌️
Weder KB4536952 noch KB4534251 werden mir angeboten.
Dafür ist, wie immer, KB890830 dabei.
Die IE11-Updates werden nie angeboten, weil die in den Rollups drin stecken.
Das SSU KB4536952 ist exklusiv, wird also erst dann angezeigt, wenn die Update-Kette leer ist, also das Rollup etc installiert oder ausgeblendet wurde.
Ich meinte die manuelle Installation:
https://www.catalog.update.microsoft.com/Search.aspx?q=2020-01
Installier doch mal das monatliche KB890830.
Möglicherweise (wahrscheinlich) wird dann das
neue Servicing Stack Update (SSU) – KB4536952
beim nächsten WU-Suchlauf als alleinstehend angeboten.
Ist bei mir schon so passiert.
Was den Patch angeht: Es wird erneut empfohlen, SMB1 abzuschalten. Tja, wenn man das nicht braucht…
Leider haben wir hier Drucker, die ohne SMB1 im Netz nicht mehr richtig funktionieren. Ist halt blöd.
Ist Windows 7 gar nicht betroffen von dem Crypto-Bug?
In der Tabelle sind nur Win10 und Server 2016/2019 aufgelistet:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
Die Info hatte ich auch – es sollen nur Windows 10 und Windows Server 2016/2019 tangiert sein – bei Brian Krebs heißt es noch alle Windows-Versionen. Ich habe mal eine Ergänzung im Text hinzugefügt.
In dem NSA-Dokument wird Win7 auch nicht erwähnt, sondern auch nur Win10 und Server 2016/2019
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
Demnach sind also auch HTTPS-Verbindungen betroffen, sowohl Signaturen von Dateien und emails.
Win7 ist nicht betroffen:
CryptoAPI spoofing vulnerability – CVE-2020-0601: This vulnerability affects all machines running 32- or 64-bit Windows 10 operating systems, including Windows Server versions 2016 and 2019.
https://www.us-cert.gov/ncas/alerts/aa20-014a
Ist nur Windows 10 betroffen?
https://www.tagesschau.de/ausland/microsoft-sicherheitsluecke-nsa-101.html
https://winfuture.de/news,113484.html
Wurde in den Kommentaren mehrfach beantwortet – m.W. sind nur Windows 10 und Windows Server 2016/2019 betroffen.
CVE-2020-0601
Ich vermute, nein – ich bin überzeugt daß es ist reiner Zufall ist daß es auch nach dem 14.1.2020 keinen Patch für Windows7, Server2008R2 dafür gibt. Sind ja auch nicht betroffen.
:D
passt. Die crypt32.dll bei win7-32 ist von 10.12.2019, Dateiversion 6.1.7601.24542. Die aktuellen patches (ssu, sec-only, IE) haben da anscheinend nichts verändert(?!).
Kommando zurück, die Datei crypt32.dll wird durch eines der Januar-updates Cumulative IE11 KB4534251 und/oder sec-only KB4534314 auf die Version 6.1.7601.24542 vom Dezember 2019 gehoben, vorher aus Juni 2019 mit VersionsNr 244x. Windows 7-64.
Das könnte möglicherweise Zufall sein – beschreien würde ich es nicht. Aber schau dir mal die Beschreibung von KB4534251 an.
Allerdings könnte es sein, dass ein Microsoftler sich vertippt hat und mit dem January 2019 Security Only Quality Update, and the January 2019 Security Monthly Quality Rollup die Patches vom Januar 2020 gemeint sind.
So oder so: Wer seine Maschine mit Win 7/8.1 sowie die Server Pendants mit den Januar 2020-Updates und ggf. dem IE 11-Update patcht, dürfte auf der sicheren Seite sein.
Windows Server 2008 R2 Standard
Version 6.1 (Build 7601: ServicePack 1)
Vorgestern:
crypt32.dll
Dateiversion: 6.1.7601.24499
Größe: 1,41 MB
Änderungsdatum: 12.06.2019 17:07
Originaldateiname: CRYPT32.DLL
Gestern:
crypt32.dll
Dateiversion: 6.1.7601.24542
Größe: 1,41 MB
Änderungsdatum: 10.12.2019 09:32
Originaldateiname: CRYPT32.DLL
und bei einem win8.1_64 ist nach den patches die Version von Crypt32.dll 6.3.9600.18653, 1,87MB, 01.04.2017.
Würde bedeuten, win8.1 ist (ebenfalls) nicht betroffen?!
najaa, @Günter Born, "möglicherweise Zufall"?
2x win7-32, 1x win7-64, jeweils die gleichen Datei-Veränderungen (updates) die 'crypt32.dll' in \Windows\System32 betreffend?!
wohl eher kaum.