CurveBall-Lücke

Beispiel-Exploits für Windows Krypto-Lücke verfügbar

Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Mehrere Sicherheitsforscher haben Demo-Exploits für die so genannte CurveBall-Lücke in Windows 10 veröffentlicht. Microsoft hat am 14. Januar Sicherheits-Updates bereitgestellt, um die Schwachstelle zu beheben.

Bereits kurze Zeit nach dem Bekanntwerden der durch den US-Geheimdienst NSA gemeldete Sicherheitslücke CVE-2020-0601 in der Windows Krypto-Schnittstelle (crypt32.dll) haben mehrere Sicherheitsforscher PoC-Code (Proof of Concept), also Beispiele für die erfolgreiche Ausnutzung der Schwachstelle veröffentlicht. Sie demonstrieren damit, dass die von der unbehandelten Sicherheitslücke ausgehende Gefahr nicht nur rein theoretischer Natur ist. Die mittlerweile als „CurveBall“, „NSACrypt“ oder auch „ChainOfFools“ bezeichnete Schwachstelle hatte bereits kurz vor Microsofts Patch Day medialen Staub aufgewirbelt, weil sie durch die NSA gemeldet wurde.

Fachleute des Schweizer Sicherheitsunternehmens Kudelski Security haben ein Python-Script veröffentlicht, das in etwa 50 Zeilen Code zeigt, wie ein Fake-Zertifikat entstehen kann, dem die anfällige Krypto-Schnittstelle in Windows vertrauen würde. Auch ein dänischer Forscher mit dem Nickname „Ollypwn“ hat auf Github Beispiel-Code veröffentlicht. Er liefert auch gleich eine Anleitung mit, wie die Schwachstelle ausgenutzt werden kann. Ein dritter Forscher, Saleem Rashid, hat seinen PoC-Code nicht veröffentlicht.

Eine Möglichkeit, die Schwachstelle auszunutzen, ist ein Zertifikat zu erstellen, mit dem man ein schädliches Programm signieren kann (Code signing). Windows würde das Programm als vertrauenswürdig ansehen und nicht als Malware einstufen. Auch Antivirus-Software anderer Hersteller könnte darauf hereinfallen, sofern es sich auf die Windows Krypto-Schnittstelle verlässt.

Eine andere Möglichkeit ist ein Zertifikat, mit dem der TLS-verschlüsselte Netzwerkdatenverkehr (HTTPS) per MitM-Attacke (Man in the Middle) kompromittiert wird. Der Angreifer kann sich mit dem Fake-Zertifikat gegenüber den beiden eigentlichen Kommunikationspartnern, die er belauschen will, als der jeweils andere Partner ausweisen. So erhält der Angreifer letztlich den Klartext der Kommunikation.

Lesen Sie auch: Windows 7 - Ultimatives FAQ zum Support-Ende


Eine Ausnutzung der CurveBall-Lücke für breit angelegte Malware-Attacken erscheint weniger erfolgversprechend, da neben der anfälligen Zertifikatsprüfung auch noch weitere Schutzmaßnahmen existieren, die nicht auf ein Zertifikat vertrauen und daher greifen sollten. Lauschangriffe auf Datenverkehr im Web sind eher etwas für Profis als für Script-Kiddies, da sie für eine erfolgreiche Nutzung dieser Lücke eine geeignete Infrastruktur erfordern. Daher sind gezielte Angriffe auf die Kommunikation von Unternehmen, Behörden und NGOs durch staatsnahe Tätergruppen wahrscheinlicher.

Dennoch sollte niemand das Einspielen der Sicherheits-Updates vom 14. Januar unnötig lange hinaus schieben. Neben Windows 10 sind auch die zugehörigen Windows Server-Versionen (Server 2016 / 2019) anfällig. Laufen auf einem noch nicht aktualisierten Server Kommunikationsdienste, etwa Mail-Server oder Web-Proxy, könnte er Ziel von Angriffen werden. Berichte über tatsächliche Angriffe gibt es bislang nicht.