![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Noch eine kurze Info und Warnung: Microsoft hat einen Workaround publiziert, der die FREAK-Sicherheitsl\u00fccke entsch\u00e4rfen soll. Der Workaround kann dazu f\u00fchren, dass der Fehler 8024001F angezeigt wird und keine Updates mehr m\u00f6glich sind. Hier ein paar Details und ein Workaround von mir, der wirklich funktioniert.<\/p>\n
<\/p>\n
Der obige Screenshot ist das, was mir (nachdem ich wieder zuhause bin) beim FREAK Attack-Sicherheitstest angezeigt wird.<\/p>\n Ein Grund, warum ich die Sicherheitsl\u00fccke als problemlos einsch\u00e4tze: Jeder Windows-Nutzer kann auf den Google Chrome-Browser ausweichen. Ich nutze hier standardm\u00e4\u00dfig die portable Version des aktuellen Google Chrome und bekomme dort die nachfolgende Anzeige.<\/p>\n Also alles im blauen Bereich. Das war auch die Situation beim Schreiben des initialen Blogbeitrags FREAK SSL\/TLS-L\u00fccke in Apple- und Google-Produkten<\/a>.<\/p>\n Da ich Freitag und Samstag bei Microsoft in M\u00fcnchen war, konnte ich wenig recherchieren und das Thema auf dem Radar behalten. Blog-Leserin 1ei <\/cite>machte mich in diesem Kommentar<\/a> auf einen Artikel bei heise.de aufmerksam. Microsoft hat am 5. M\u00e4rz 2015 das Security Advisory 3046015 Vulnerability in Schannel Could Allow Security Feature Bypass<\/a> ver\u00f6ffentlicht. Das Advisory richtet sich vor allem an Firmenadmins, die sicherstellen, dass der Internet Explorer 11 in der Windows-Umgebung ohne die Schwachstelle betrieben werden kann.<\/p>\n Die Problematik besteht bei der FREAK-L\u00fccke darin, dass Angreifer die Kommunikation mit dem Server austricksen und auf eine \"schwache\" TLS-Verschl\u00fcsselung umstellen k\u00f6nnen. Die verschl\u00fcsselten Handshake-Nachrichten mit einer L\u00e4nge von 512 Bit lassen sich mit gen\u00fcgend Rechenleistung binnen einiger Stunden knacken. Nun sind die Leute von Microsoft auf die Idee gekommen, den Austausch der RSA-Schl\u00fcssel f\u00fcr die TLS-Verschl\u00fcsselung per Gruppenrichtlinie zu deaktivieren.<\/p>\n Dazu wird im Gruppenrichtlinien-Editor der Zweig Computerkonfiguration \u2013 Administrative Vorlagen \u2013 Netzwerk \u2013 SSL-Konfigurationseinstellungen <\/em>aufgerufen. Anschlie\u00dfend ist die Richtlinie zu aktivieren und der Ausdruck in SSL-Verschl\u00fcsselungssammlungen <\/em>gem\u00e4\u00df den Vorgaben Microsofts zu ersetzen.<\/p>\n Bewirkt, dass das Ersetzen des TLS-RSA-Schl\u00fcssels nicht mehr so klappt, wie man dies f\u00fcr einen theoretisch m\u00f6glichen Angriff gebraucht w\u00fcrde. Eigentlich eine clevere Idee seitens Microsoft. Erm\u00f6glicht Administratoren zu reagieren, bis ein getesteter Patch bereitsteht.<\/p>\n Microsoft weist schon darauf hin, dass dann bestimmte Webseiten nicht mehr funktionieren (wenn deren Server auf dieses RSA Key exchange angewiesen sind).<\/p><\/blockquote>\n An dieser Stelle: Das betrifft nur Systeme, auf denen gpedit.msc <\/em>l\u00e4uft (also Professional und Enterprise-Varianten von Windows wie z.B. Windows 7 Professional, Ultimate\/Enterprise, Windows 8\/8.1 Pro und Enterprise etc.). Daher vertiefe ich das Ganze an dieser Stelle nicht weiter.<\/p>\n Der heise.de-Artikel<\/a> weist auf das Folgeproblem hin: Es kann vorkommen, dass dann keine Updates mehr installiert werden k\u00f6nnen, weil Windows Update den Fehler 8024001F wirft und die Update-Installation verweigert. Laut den heise-Redakteuren ist es diesen gelungen, den Fehler zu reproduzieren.<\/p>\n Ich habe darauf verzichtet, das alles nachzustellen, da es a) nur wenige Blog-Leser betrifft, b) ich gerade mal von meiner Reise nach M\u00fcnchen zur\u00fcck bin und c) ich am Sonntag Morgen eigentlich eher im Rheingau zum Wandern m\u00f6chte, als mir irgendwelche Patch-Frickeleien antun will.<\/p>\n Nur so viel: Wer sich die Microsoft-Beschreibung zum Update-Fehler 8024001f<\/a> (und hier<\/a>) anschaut, erf\u00e4hrt, dass die Internetverbindungwohl fehl geschlagen ist. Man wird aufgefordert, die Internetverbindung herzustellen. Diese besteht aber bei den Systemen.<\/p>\n Ich habe das Szenario mal im Hinterkopf kurz durchdacht, als ich heute Morgen zum Br\u00f6tchen holen gejoggt bin. Frische Luft und Sauerstoff\u00fcberschuss bef\u00f6rdert das Denkverm\u00f6gen. Meine Theorie: Nat\u00fcrlich werden auch die von BITS angeforderten Update-Pakete per TLS verschl\u00fcsselt. Ich tippe darauf, dass genau das Verhindern des Austauschs der RSA-Keys tief irgendwo im Inneren von Windows einen Kollateralschaden verursacht. Der BITS-Dienst versucht \u00fcber irgend einen API-Aufruf die Pakete anzufordern, die Routine fordert das Paket \u00fcber irgend eine API an, kann das Paket aber nicht mehr entschl\u00fcsseln, weil der verwendete RSA-Key unzul\u00e4ssig ist. Ist nat\u00fcrlich Spekulation meinerseits und ich lasse mich gerne widerlegen.<\/p>\n Fazit ist aber: Den Workaround sollte man sich als Administrator gut \u00fcberlegen \u2013 und zumindest wissen, worauf man sich einl\u00e4sst. Und meine zus\u00e4tzlichen 2 Cents: Das Missgeschick ist das Beste, was Microsoft passieren konnte. Auf diese Weise hat man nun mitbekommen, dass das Blockieren des RSA Exchange cipher nicht ausreicht \u2013 man muss alle Komponenten darauf hin abklopfen, ob diese noch sauber auf die Krypto-Bibliotheken zugreifen k\u00f6nnen. Ob wir daher n\u00e4chsten Dienstag (10.3.2015) einen Patch bekommen, steht in den Sternen. Warten wir es ab. Irgend jemand von Euch da drau\u00dfen betroffen?<\/p>\n","protected":false},"excerpt":{"rendered":" Noch eine kurze Info und Warnung: Microsoft hat einen Workaround publiziert, der die FREAK-Sicherheitsl\u00fccke entsch\u00e4rfen soll. Der Workaround kann dazu f\u00fchren, dass der Fehler 8024001F angezeigt wird und keine Updates mehr m\u00f6glich sind. Hier ein paar Details und ein Workaround … Weiterlesen Im Beitrag FREAK SSL\/TLS-L\u00fccke in Apple- und Google-Produkten<\/a> hatte ich \u00fcber eine \"by Design\" in der SSL\/TLS-Verschl\u00fcsselung bestehende Schwachstelle in Apple- und Google-Produkten berichtet. Ich hatte keine Gelegenheit, es weiter zu testen, bin dann aber am Freitag darauf gesto\u00dfen (siehe Windows doch durch FREAK HTTPS-L\u00fccke betroffen<\/a>), dass diese L\u00fccke auch Windows im Internet Explorer (bis zur Version 11) vorhanden ist.<\/p>\n
![\"\"](\"https:\/\/i.imgur.com\/6yZIUY4.jpg\")
<\/p>\nWorkaround: Vorschlag von mir, Vorschlag von Microsoft<\/h3>\n
![\"\"](\"https:\/\/i.imgur.com\/Bth2KfF.jpg\")
<\/p>\nDer Workaround von Microsoft skizziert<\/h3>\n
![\"Gpedit\"](\"https:\/\/i.imgur.com\/vlKpLdz.jpgg\")
![\"Gpedit\"](\"https:\/\/i.imgur.com\/mqx1La1.jpg\")
<\/p>\n\u2026 und das Folgeproblem<\/h3>\n