Kann schlimme Folgen haben: Windows-Bug macht digitale Zertifikate angreifbar

30.08.2002
Microsofts Betriebssysteme haben durch die Bank ein Problem im Umgang mit digitalen Zertifikaten. Schuld daran ist eine fehlerhafte ActiveX-Kontolle, die so genannte Certificate Enrollment Control. Das berichtet unsere Schwester-Publikation Tecchannel.

Microsofts Betriebssysteme haben durch die Bank ein Problem im Umgang mit digitalen Zertifikaten. Schuld daran ist eine fehlerhafte ActiveX-Kontolle, die so genannte Certificate Enrollment Control. Das berichtet unsere Schwester-Publikation Tecchannel.

Diese Kontrolle ist zuständig für das Anfordern und Installieren von Zertifikaten. Fordert ein Benutzer ein Zertifikat an, indem er etwa bei einem Händler ein Formular ausfüllt, schickt die Certificate Enrollment Control diese Anfrage ab, nimmt das Zertifikat entgegen und installiert es lokal. Was der ActiveX Control auf keinen Fall möglich sein sollte, ist der Zugriff auf bestehende Zertifikate. Aber genau das erlaubt der Bug in der Kontrolle. Ein Angreifer könnte so über eine präparierte Webseite oder auch per HTML-Mail die Certificate Enrollment Control aufrufen und sie zum löschen von vorhandenen Zertifikaten m.

Für den Benutzer hätte das schlimme Folgen, die mit einer Denial-of-Service-Attacke vergleichbar sind, weil unter Umständen wichtige Funktionen des Betriebssystems gestört wären. Laut Microsoft kann ein Angreifer auf diesem Weg zum Beispiel die Zertifikate löschen, mit denen E-Mails verschlüsselt oder signiert werden. Richtet sich der Angriff auf die standardmässig in Windows codierten Zertifikate, verliere das Betriebssystem etwa die Fähigkeit, Webseiten mit SSL-Verschlüsselung aufzurufen oder auch die, Dateien zu codieren.

Betroffen sind laut Microsoft alle Betriebssysteme (Windows 98, NT, ME, 2000, XP). ältere Versionen pflegt Microsoft nicht mehr. Das zugehörige Bulletin MS02-048 und Links zu den Patches sind im Microsoft TechNet zu finden. (cm)

Zur Startseite