{"id":227100,"date":"2020-01-17T00:08:00","date_gmt":"2020-01-16T23:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227100"},"modified":"2023-08-16T00:44:08","modified_gmt":"2023-08-15T22:44:08","slug":"windows-neues-zur-nsa-schwachstelle-cve-2020-0601","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/17\/windows-neues-zur-nsa-schwachstelle-cve-2020-0601\/","title":{"rendered":"Windows: Neues zur NSA-Schwachstelle CVE-2020-0601"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/01\/17\/windows-poc-for-cryptoapi-bug-cve-2020-0601-are-out\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]F\u00fcr die CyptoAPI-Schwachstelle <a href=\"https:\/\/web.archive.org\/web\/20201026081917\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0601\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0601<\/a> in Windows gibt es gleich mehrere Proof of Concept-Exploits, die d\u00fcrfte wohl bald aktiv angegriffen werden. Chrome f\u00fchrt eine Pr\u00fcfung im Browser ein und es gibt eine Testseite f\u00fcr diese Schwachstelle.<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es bei CVE-2020-0601<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/854ac113990c4d09895e60784fb82fbf\" alt=\"\" width=\"1\" height=\"1\" \/>Zur Erinnerung: In der Bibliothek <em>Crypt32.dll <\/em>(CryptoAPI) gibt es eine 'Spoofing-Schwachstelle' <a href=\"https:\/\/web.archive.org\/web\/20201026081917\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0601\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0601<\/a>, die von Angreifern ausgenutzt werden k\u00f6nnte. Ein Angreifer h\u00e4tte die M\u00f6glichkeit, ein gef\u00e4lschtes Code-Signatur-Zertifikat zum Signieren einer b\u00f6sartigen ausf\u00fchrbaren Datei zu verwenden, ohne das Windows das merkt.<\/p>\n<p>Ein erfolgreicher Exploit k\u00f6nnte es dem Angreifer auch erm\u00f6glichen, Man-in-the-Middle-Angriffe durchzuf\u00fchren und vertrauliche Informationen \u00fcber Benutzerverbindungen zu der betroffenen Software zu entschl\u00fcsseln. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/14\/windows-kommt-heute-ein-kritischer-kryptografie-patch\/\">Windows: Kommt heute ein kritischer Kryptografie-Patch?<\/a> \u00fcber den Sachverhalt berichtet. Bei heise gibt es zudem <a href=\"https:\/\/www.heise.de\/security\/meldung\/NSA-meldet-Windows-Luecke-anstatt-sie-auszunutzen-4637752.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> mit einigen Informationen. Microsoft hat zudem am 14.1.2020 <a href=\"https:\/\/web.archive.org\/web\/20230208234929\/https:\/\/msrc-blog.microsoft.com\/2020\/01\/14\/january-2020-security-updates:-cve-2020-0601\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> ver\u00f6ffentlicht, wie ich jetzt festgestellt habe.<\/p>\n<p>Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schlie\u00dfen der Schwachstelle bereitgestellt (siehe <a href=\"https:\/\/web.archive.org\/web\/20201026081917\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0601\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0601<\/a> und meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/15\/patchday-windows-10-updates-14-januar-2020\/\">Patchday Windows 10-Updates (14. Januar 2020)<\/a>).<\/p>\n<h2>Die Schwachstelle wird vermutlich ausgenutzt<\/h2>\n<p>Die k\u00fcrzlich in Windows entdeckte Schwachstelle <a href=\"https:\/\/web.archive.org\/web\/20201026081917\/https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0601\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-0601<\/a> ist nat\u00fcrlich ein gefundenes Fressen f\u00fcr Cyber-Kriminelle. Diese k\u00f6nnten verschl\u00fcsselte HTTPS-Verbindungen durch Man-in-the-middle-Angriffe aufbrechen und die Informationen mitlesen.<\/p>\n<p>Inzwischen haben Sicherheitsforscher Proof of Concept-Code-Beispiele (PoC) entwickelt und teilweise ver\u00f6ffentlicht, die diese Schwachstelle ausnutzen.<\/p>\n<ul>\n<li>Der Sicherheitsexperte Saleem Rashid hat einen Proof-of-Concept-Code erstellt, um TLS-Zertifikate zu f\u00e4lschen. Das erm\u00f6glicht es, eine gef\u00e4lschte Website einzurichten, die wie eine durch legitime Zertifikate gesicherte Webseite aussieht. Rashid hat den Exploit-Code nicht ver\u00f6ffentlicht, um zu verhindern, dass B\u00f6sewichte ihn in der Wildnis benutzen.<\/li>\n<li>Die Schweizer Cybersicherheitsfirma Kudelski Security hat auf GitHub einen funktionierenden Exploit f\u00fcr die Schwachstelle <a href=\"https:\/\/github.com\/kudelskisecurity\/chainoffools\" target=\"_blank\" rel=\"noopener noreferrer\">ver\u00f6ffentlicht<\/a>.<\/li>\n<li>Der d\u00e4nische Sicherheitsforscher Ollypwn <a href=\"https:\/\/web.archive.org\/web\/20200116210224\/https:\/\/github.com\/ollypwn\/cve-2020-0601\" target=\"_blank\" rel=\"noopener noreferrer\">ver\u00f6ffentlichte<\/a> ebenfalls einen Exploit f\u00fcr die CurveBall-Schwachstelle.<\/li>\n<\/ul>\n<p>Die Seite securityaffairs.co berichtet in <a href=\"https:\/\/web.archive.org\/web\/20220820080419\/https:\/\/securityaffairs.co\/wordpress\/96486\/uncategorized\/cve-2020-0601-nsacrypto-exploits.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> \u00fcber diesen Exploit der Sicherheitsforscher. Unabh\u00e4ngig davon hat heise den Sachverhalt im Artikel <a href=\"https:\/\/www.heise.de\/security\/meldung\/Jetzt-patchen-Exploit-Code-fuer-die-NSA-Windows-Luecke-aufgetaucht-4639532.html\" target=\"_blank\" rel=\"noopener noreferrer\">Jetzt patchen! Exploit-Code f\u00fcr die NSA-Windows-L\u00fccke aufgetaucht<\/a> aufgegriffen und empfiehlt Administratoren die Windows-Systeme unverz\u00fcglich zu patchen.<\/p>\n<h2>Eine Testseite f\u00fcr die Krypto-Schwachstelle<\/h2>\n<p>\u00dcber einen Tweet von Sicherheitsforscher Kevin Beaumont bin ich auf eine interessante Geschichte gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">It doesn't work at all on Firefox, even if using vulnerable OS, as they validate certificate correctly. The Chrome team could add extra validation for this btw, for people who don't patch.<\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1217792922562826240?ref_src=twsrc%5Etfw\">January 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ruft man die Webseite <a href=\"https:\/\/web.archive.org\/web\/20210126091818\/http:\/\/chainoffools.wouaib.ch\/\" target=\"_blank\" rel=\"noopener noreferrer\">chainoffools.wouaib.ch<\/a> auf, sollte man den im Tweet bzw. nachfolgend gezeigten Zertifikatsfehler als Warnung angezeigt bekommen.<\/p>\n<p><img decoding=\"async\" title=\"chainoffools.wouaib.ch Zertifikate-Crypto-Test\" src=\"https:\/\/i.imgur.com\/KOJ55bS.jpg\" alt=\"chainoffools.wouaib.ch Zertifikate-Crypto-Test\" \/><\/p>\n<p>Erscheint die obige Warnung nicht, sollte das System gepatcht werden, da das gef\u00e4lschte Zertifikat der Testseite offenbar nicht erkannt wird. Beim Firefox ist der Test aber nutzlos, da der Browser intern eine separate Validierung durchf\u00fchrt. Dadurch erscheint die Zertifikatswarnung, obwohl der CryptoAPI-Fehler ungepatcht sein kann.<\/p>\n<blockquote><p>Ich habe es unter Windows 10 im Edge getestet. Dort wird die Warnung angezeigt, aber das System war auch gepatcht. Allerdings kam die Anzeige mit der Warnung auch bei ungepatchtem System. Daher bin ich nicht sicher, wie pr\u00e4zise der Test wirklich ist. Ihr k\u00f6nnt ja ggf. auch mal testen und hier berichten.<\/p><\/blockquote>\n<h2>Chrome erh\u00e4lt Pr\u00fcfung auf CryptoAPI-Fehler<\/h2>\n<p>In den Antworten auf den obigen Tweet weist Kevin Beaumont darauf hin, dass der Chrome-Browser eine Pr\u00fcfung auf die Crypto-API-Schwachstelle bekommen k\u00f6nnte.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Google Chrome Adds Protection for NSA's Windows CryptoAPI Flaw &#8211; by <a href=\"https:\/\/twitter.com\/LawrenceAbrams?ref_src=twsrc%5Etfw\">@LawrenceAbrams<\/a><a href=\"https:\/\/t.co\/kRx7h24E1E\">https:\/\/t.co\/kRx7h24E1E<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1217927179239067651?ref_src=twsrc%5Etfw\">January 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dann bin ich auf obigen Tweet von Bleeping Computer gesto\u00dfen. Google hat soeben Chrome 79.0.3945.130 ver\u00f6ffentlicht, das nun Zertifikate erkennt, die versuchen, die von der NSA entdeckte CVE-2020-0601 CryptoAPI-Windows-Schwachstelle auszunutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]F\u00fcr die CyptoAPI-Schwachstelle CVE-2020-0601 in Windows gibt es gleich mehrere Proof of Concept-Exploits, die d\u00fcrfte wohl bald aktiv angegriffen werden. Chrome f\u00fchrt eine Pr\u00fcfung im Browser ein und es gibt eine Testseite f\u00fcr diese Schwachstelle.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,3288],"class_list":["post-227100","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227100"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227100\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}