Microsoft hat zum Patch-Day im Januar 2020 viele Sicherheitslücken in seinen Produkten gestopft, darunter auch eine gefährliche Krypto-Lücke in Windows. Ungewöhnlich sind allerdings die Hintergründe zu dieser Sicherheitslücke. Sie wurde nämlich von der US-Geheimdienstbehörde NSA (National Security Agency) entdeckt. Die Lücke in Windows erschien dabei den NSA-Sicherheitsexperten so brisant, dass sie diese ausnahmsweise nicht für sich behielten - um sie etwa selbst für Angriffe zu nutzen -, sondern an Microsoft meldeten.

Die Sicherheitslücke CVE-2020-0601 betrifft laut Angaben von Microsoft nur Windows 10 und entgegen zunächst anderslautenden Berichten nicht auch Windows 7, welches zum Patch-Day zum letzten Mal Sicherheitsupdates und ein Funktionsupdate erhalten hat und dessen Support am 14. Januar 2020 eingestellt wurde. In dem Blog-Eintrag zur Sicherheitslücke betont Microsoft, dass die von der Sicherheitslücke betroffene Bibliothek CryptoAPI nicht in der aktiven Nutzung war. Dennoch musste die Lücke geschlossen werden, um potenzielle Angriffe auf Windows-10-Nutzer zu verhindern.

Die Lücke erlaubt es einer Malware, sich hinter der kryptografischen Signatur zu verstecken, wodurch sie beispielsweise an Antiviren-Software vorbei auf Systeme geschleust werden könnte. Die Sicherheitssoftware hätte keine Möglichkeit die Malware zu entdecken, weil sie sich quasi hinter einer als vertrauenswürdig geltenden digitalen Signatur verstecken könnte. Außerdem könnte die Lücke auch genutzt werden, um die sicheren Verbindungen HTTPS und TLS zu manipulieren.

NSA verhält sich vorbildlich im Umgang mit entdeckter Windows-Sicherheitslücke

Microsoft selbst erwähnt nicht, dass die Sicherheitslücke vom US-Geheimdienst NSA entdeckt wurde. US-Medien berichten, dass die NSA die Lücke entdeckt und inklusive eines Exploits an Microsoft gemeldet habe. Am Dienstagabend (deutscher Zeit) veröffentlichte die NSA schließlich auch eine Sicherheitsempfehlung, in der sie die Entdeckung der Sicherheitslücke für sich beansprucht. Dabei geht die NSA davon aus, dass von der Lücke nicht nur Windows 10, sondern auch Windows Server 2016 und Windows Server 2019 betroffen sind.

Konkret erklärt die NSA zur Sicherheitslücke: "Die Ausnutzung der Schwachstelle ermöglicht es Angreifern, vertrauenswürdige Netzwerkverbindungen zu umgehen und ausführbaren Code einzuschleusen, während sie als legitim vertrauenswürdige Entitäten erscheinen". Und erklärt weiter: "Beispiele, bei denen die Validierung des Vertrauens beeinträchtigt werden kann, sind HTTPS-Verbindungen, signierte Dateien und E-Mails [und] signierter ausführbarer Code, der als Prozess im Benutzermodus gestartet wird."

Die NSA empfiehlt allen betroffenen Nutzern die sofortige Installation der von Microsoft bereitgestellten Sicherheitsupdates. Begründet wird dies damit, dass nach Bekanntwerden der Schwachstelle bereits in naher Zukunft mit Angriffen zu rechnen ist.

NSA war in der Vergangenheit schuld für Angriffe auf Windows-Nutzer

Bemerkenswert ist, dass die NSA die von ihr entdeckte Sicherheitslücke so schnell an Microsoft gemeldet hat. In der Vergangenheit war die NSA für ihren Umgang mit den vor ihr entdeckten Sicherheitslücken kritisiert worden. Etwa im Jahr 2017, als bekannt wurde, dass die NSA die Windows-Lücke EternalBlue zwar entdeckt, aber nicht gemeldet hatte, wodurch viele Millionen Windows-Nutzer einer Gefahr ausgesetzt wurden. Die NSA verwendete die Lücke stattdessen für eigene Angriffe, um sich einen Zugriff auf Rechner von Verdächtigen zu verschaffen. Als die Lücke dann publik wurde, waren bereits unzählige Nutzer Opfer der WannaCry-Attacke geworden.





