Windows: Neues zur NSA-Schwachstelle CVE-2020-0601

[English]Für die CyptoAPI-Schwachstelle CVE-2020-0601 in Windows gibt es gleich mehrere Proof of Concept-Exploits, die dürfte wohl bald aktiv angegriffen werden. Chrome führt eine Prüfung im Browser ein und es gibt eine Testseite für diese Schwachstelle.

Worum geht es bei CVE-2020-0601

Zur Erinnerung: In der Bibliothek Crypt32.dll (CryptoAPI) gibt es eine ‘Spoofing-Schwachstelle’ CVE-2020-0601, die von Angreifern ausgenutzt werden könnte. Ein Angreifer hätte die Möglichkeit, ein gefälschtes Code-Signatur-Zertifikat zum Signieren einer bösartigen ausführbaren Datei zu verwenden, ohne das Windows das merkt.

Ein erfolgreicher Exploit könnte es dem Angreifer auch ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und vertrauliche Informationen über Benutzerverbindungen zu der betroffenen Software zu entschlüsseln. Ich hatte im Blog-Beitrag Windows: Kommt heute ein kritischer Kryptografie-Patch? über den Sachverhalt berichtet. Bei heise gibt es zudem diesen Beitrag mit einigen Informationen. Microsoft hat zudem am 14.1.2020 diesen Blog-Beitrag veröffentlicht, wie ich jetzt festgestellt habe.

Microsoft gibt an, dass Windows 10, Windows Server 2016 und 2019 betroffen sind und hat entsprechende cumulative Updates zum Schließen der Schwachstelle bereitgestellt (siehe CVE-2020-0601 und meinen Blog-Beitrag Patchday Windows 10-Updates (14. Januar 2020)).

Die Schwachstelle wird vermutlich ausgenutzt

Die kürzlich in Windows entdeckte Schwachstelle CVE-2020-0601 ist natürlich ein gefundenes Fressen für Cyber-Kriminelle. Diese könnten verschlüsselte HTTPS-Verbindungen durch Man-in-the-middle-Angriffe aufbrechen und die Informationen mitlesen.

Inzwischen haben Sicherheitsforscher Proof of Concept-Code-Beispiele (PoC) entwickelt und teilweise veröffentlicht, die diese Schwachstelle ausnutzen.

  • Der Sicherheitsexperte Saleem Rashid hat einen Proof-of-Concept-Code erstellt, um TLS-Zertifikate zu fälschen. Das ermöglicht es, eine gefälschte Website einzurichten, die wie eine durch legitime Zertifikate gesicherte Webseite aussieht. Rashid hat den Exploit-Code nicht veröffentlicht, um zu verhindern, dass Bösewichte ihn in der Wildnis benutzen.
  • Die Schweizer Cybersicherheitsfirma Kudelski Security hat auf GitHub einen funktionierenden Exploit für die Schwachstelle veröffentlicht.
  • Der dänische Sicherheitsforscher Ollypwn veröffentlichte ebenfalls einen Exploit für die CurveBall-Schwachstelle.

Die Seite securityaffairs.co berichtet in diesem Artikel über diesen Exploit der Sicherheitsforscher. Unabhängig davon hat heise den Sachverhalt im Artikel Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht aufgegriffen und empfiehlt Administratoren die Windows-Systeme unverzüglich zu patchen.

Eine Testseite für die Krypto-Schwachstelle

Über einen Tweet von Sicherheitsforscher Kevin Beaumont bin ich auf eine interessante Geschichte gestoßen.

Ruft man die Webseite chainoffools.wouaib.ch auf, sollte man den im Tweet bzw. nachfolgend gezeigten Zertifikatsfehler als Warnung angezeigt bekommen.

chainoffools.wouaib.ch Zertifikate-Crypto-Test

Erscheint die obige Warnung nicht, sollte das System gepatcht werden, da das gefälschte Zertifikat der Testseite offenbar nicht erkannt wird. Beim Firefox ist der Test aber nutzlos, da der Browser intern eine separate Validierung durchführt. Dadurch erscheint die Zertifikatswarnung, obwohl der CryptoAPI-Fehler ungepatcht sein kann.

Ich habe es unter Windows 10 im Edge getestet. Dort wird die Warnung angezeigt, aber das System war auch gepatcht. Allerdings kam die Anzeige mit der Warnung auch bei ungepatchtem System. Daher bin ich nicht sicher, wie präzise der Test wirklich ist. Ihr könnt ja ggf. auch mal testen und hier berichten.

Chrome erhält Prüfung auf CryptoAPI-Fehler

In den Antworten auf den obigen Tweet weist Kevin Beaumont darauf hin, dass der Chrome-Browser eine Prüfung auf die Crypto-API-Schwachstelle bekommen könnte.

Dann bin ich auf obigen Tweet von Bleeping Computer gestoßen. Google hat soeben Chrome 79.0.3945.130 veröffentlicht, das nun Zertifikate erkennt, die versuchen, die von der NSA entdeckte CVE-2020-0601 CryptoAPI-Windows-Schwachstelle auszunutzen.

Dieser Beitrag wurde unter Sicherheit, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Windows: Neues zur NSA-Schwachstelle CVE-2020-0601

  1. Christian sagt:

    Im Iron, Version 79.0.4100.0 (Offizieller Build) (64-Bit), kommt die Warung.

  2. Markus sagt:

    Mit Edge Version 79.0.309.65 gepachtes System bekomme ich die Warnung.

    • Günter Born sagt:

      Wäre interessant, ob es jemanden gibt, der ein ungepatchtes System hat und eine andere Darstellung erhält. Auf Twitter habe ich jemanden gefunden, der das behauptet. Aber ich bin nicht sicher, wie belastbar das alles ist.

      • Anonymous sagt:

        Die Chrome warnt „auch“ auf ungepatchten Systemen.

        Auf gepatchten Systemen warnt der IE, Edge (alt und neu) sowieso.
        Auf gepatchen Systemen würde auch der alte Chrome (ohne diese Neuerung) warnen, da Chrome (wie der IE / Edge) den Windows Zertifikatsstore verwendet und der Zertifikatsstore auf gepatchten Systemen das Zertifikat schlichtweg als ungültig erkennt.

      • Leser sagt:

        Auf einem W7 mit Oktober-Upates wurde eine Webseite (IE11) angezeigt, auf der man einen Link anklicken konnte zum Test. Aber da hat sich nichts getan. Entweder war das ein Fake-Button oder auf dem System war irgendetwas nicht aktiviert/geblockt.

        Auf einem W7 mit Januar-Updates kommt auf diversen Browsern eine Zertifikatsfehlermeldung.
        Hatte allerdings vergessen, das zuvor ungepatchte System noch einmal dahingehend zu testen. Vielleicht denke ich ja noch einmal dran…

  3. David sagt:

    Hi,

    im IE, W10, kommt die Warnmeldung auch…

  4. Rainer Winkler sagt:

    Nach dem Hochfahren nach dem Update rief mich der Kunde an, weil eine Vielzahl Fragen auf dem Bildschirm standen (diese kannte ich noch nicht, weil bei mir dieses Update noch nicht anstand). Wir fummelten uns durch. Nach Start des kritischen Programmes stürzte der Rechner wieder ab und endete mit einer völlig nutzlosen und irreführenden Fehlermeldung – nichts funktionierte mehr, keine Reaktion auf Maus, Tastatur und Netzschalter. Der PC musste hart ausgeschaltet werden. Die Fehlermeldungen waren noch schlimmer als vor dem Update. Der Spooler lief nicht mehr sauber. Insbesondere ließ sich der Prozessaktivierungsdienst (WAS) nicht mehr starten. Die üblichen Reparaturmaßnahmen führten nicht zum Ziel. Mir bleibt nichts anderes übrig, als die zugehörige DVD zu finden, zu brennen und mit dieser eine Reparatur zu versuchen – Ausgang ungewiss. Im schlimmsten Fall muss der ganze Mist neu installiert werden.

  5. Bernard sagt:

    Kevin Beaumont schreibt:

    „It doesn’t work at all on Firefox, even if using vulnerable OS, as they validate certificate correctly. “

    Vor einigen Tagen schrieb hier „Dat Bundesferkel“ von einem total verbugten Mozilla, wollte aber nicht sagen, was das für Bugs sind.

    Es sieht so aus, als ob „Dat Bundesferkel“ die User einfach nur verunsichern wollte.

    Ich denke, dass Beaumont schon weiss, was er sagt: they validate certificate correctly

    Somit ist der Firefox Browser eine sehr gute Wahl. Besser als der petzende Chrome.

    • Dat Bundesferkel sagt:

      Du bist groß genug, selber @ Firefox zu recherchieren, ich bin nicht Deine Amme, die Dir alles hinterherträgt. Firefox habe ich schon verwendet, als die Versionsnummern einstellig waren. Und ich habe viele, viele, viele Fehlfunktionen in den 20ern/30ern ertragen. Von kaputten Renderern, über defekte Zertifikatsfunktionen, bis hin zu offenen und ungeschützten, lokal gespeicherten Passwörtern des Firefox.

      Aktuell spinnt der Firefox gerne mit netflix herum. Ja, schon klar: „Ich habe damit keine Probleme.“ – Doch, hast Du. Denn der Fehler kommt immer wieder, bei neueren Releases. Es geht schon soweit, daß Netflix workarounds anbietet…

      All das, was Du dem Chrome derzeit vorwirfst, macht Firefox genauso: Übersendung von Telemetriedaten, petzen, verkaufen.

      https://github.com/topics/firefox

      Kannst Dich ja mal durch die „Issues“ turnen. Und das sind nur die „gemeldeten“ und „zugelassenen“ Probleme.

      Anstelle Chrom*ium* in Deine Firefox Vergleiche einzubeziehen, kennst Du nur die Petze Chrom*e*. Vielleicht erweiterst Du mal Deinen Horizont. :)

      PS: Versuche gar nicht erst eine 2000er-Foren-„Ich habe Recht und Du ni-hicht“-Diskussion zu beginnen. Da bliebest Du Alleinunterhalter.

      • 1ST1 sagt:

        Wen interessiert Netflix?

      • 1ST1 sagt:

        Hab mir deinen Github-Link angesehen. Frage: Was soll der aussagen? Ich sehe da null was mich Telemetriemäßig aufregen würde.

      • Monsieur Voltaire sagt:

        Ungeschützte lokal gespeicherte PWs? Wenn ich lokal zugriff zum PC habe, sei es durch logging oder physisch kann ich die Passwörte auch so auslesen in den Optionen.

        Moving the Goalpoast. Ne ne lass stecken. FF ist très supérieure!

        Chromelets versuchen nur zu agititeren ;)

        • Dat Bundesferkel sagt:

          Setzt aber zumindest ein einloggen voraus. Bei dem Anderen genügt die Präsenz im Netzwerk…

          Fanboys versuchen nur zu agitieren* ( nächstes Mal im Duden nachsehen, bevor man versucht mit Synonymen um sich zu schlagen, die man nicht kennt, um sich eindrucksvoller präsentieren zu können. ;) )

          Ihr behaltet euren Feuerfuchs und ich bleibe bei meinem Chromium, Deal? Ich hinke nämlich nicht gerne 20 Jahre der aktuellen Technik hinterher… selbst wenn Debian bei mir zum Einsatz kommt.

    • 1ST1 sagt:

      Sowieso. Chrome versucht Nutzer zu identifizieren, auch wenn man sich nicht mit dem Google-Konto verbindet (das man z.B. zwangsläufig haben muss, wenn man ungemoddetes Android-Handy nutzt). Microsoft hat 50 Google-Services- und Telemetrie aus Chromium rausgeschmissen, um damit den neuen Edge zu entwickeln (dafür aber sicher eigene Telemetrie eingebaut). IMHO spricht das Bände. Das kann nicht gut sein, und jeder, der Chrome trotzdem verwendet, ist einfach des Wahnsinns fette Beute. Nebenbei frage ich mich, ob die Leute, die statt Chrome einen anderen Chromium-Browser benutzen, besser dran sind, als Chrome-Nutzer, wenn MS schon Chromium so sher bereinigen musste. Chrome-Edge müsste allerdings auch erstmal sicherheitstechnisch bewertet werden, was hat MS da eingebaut, dank Chromium müsste man doch eigentlich den kompletten Sourcecode davon einsehen können?

  6. Dat Bundesferkel sagt:

    Merkwürdiger Test. Das Zertifikat wird mit einer „Zertifizierungsstelle“ ausgeliefert. Natürlich kann die nicht legitim sein, wenn sie nicht in den lokalen Zertifikatsspeicher vorab abgelegt wird und als vertrauenswürdig bestätigt wird (ist bei Windows / Linux vergleichbar).

    Wenn jemand einen Rechner nutzt und keine Fehlermeldung beim Besuch obiger Seite erhält, sollte er seine Gurke umgehend vom Netz nehmen, denn sie ist 100 % unsicher.

    Aber welche Auswirkungen das nun auf den „NSA-Bug“ haben soll? Keine Ahnung.

    Da es hinreichend Leute gibt, die sich 3rd-Party Schlangenöl installieren, welche selber schon eigenständig Zertifikatsketten aufbrechen, um ihr eigenes Proxy-Zertifikat einzubinden, ist der Bug tatsächlich nicht wirklich etwas Außergewöhnliches. Dasselbe Phänomen hat man grundsätzlich, wenn man hinter einem Proxy steckt (Firmen, AV-Lösungen, öffentliche Hotspots etc. pp).

    • 1ST1 sagt:

      „Dasselbe Phänomen hat man grundsätzlich, wenn man hinter einem Proxy steckt (Firmen, AV-Lösungen, öffentliche Hotspots etc. pp).“

      Der Enterprise-Proxy hier blockt die Testseite wegen kaputtem Zertifikat. Der Proxy ist aber sicher auch keine Windows-Kiste, die von der CVE betroffen wäre.

      „Merkwürdiger Test. Das Zertifikat wird mit einer “Zertifizierungsstelle” ausgeliefert. Natürlich kann die nicht legitim sein, wenn sie nicht in den lokalen Zertifikatsspeicher vorab abgelegt wird und als vertrauenswürdig bestätigt wird (ist bei Windows / Linux vergleichbar).“

      So merkwürdig ist der Test IMHO nicht, wenn der Zertifikatstest durch ein speziell präpariertes Zertifikat ausgetrickst werden kann. Das ist ja genau das, was CVE-2020-0601 beschreibt. Und das nicht nur für HTTPS/TLS/… Zertifikate, sondern sicher z.B. auch für signierte ausführbare Dateien. Der Applocker ist davon wahrscheinlich auch betroffen, denn wenn der entsprechend konfiguriert ist, dass er die Programmausführung erlaubt, wenn gültige Herstellerzertifikate in der Exe-Datei hinterlegt sind. Wer dann ein manipuliertes Zertifikat in eine Exe-Datei packt, hätte da dann einen Türöffner.

      • Dat Bundesferkel sagt:

        Meine Aussage ist, daß alle „normalen“ Unternehmens-Proxy normale Zertifikate durch eigene ersetzen, damit der über sie geleitete Traffic „entschlüsselt“ werden kann. Das merken leider die Wenigsten.
        Der Test der oben genannten Seite ist deshalb unsinnig, weil sie auf einen eigenen CA-Server aufsetzt und ausliefert und der Bug deshalb nicht zum tragen kommen sollte. Wenn er zum tragen kommt, hat das verwendete System ganz andere Sorgen…

        Aber ja, Du hast recht: Die Schwachstelle kombiniert mit einem Proxy wäre eine sehr saubere Lösung: Nicht einmal erfahrene Anwender würden bemerken, daß die Administration ihren Internetverkehr mitliest, da kein Hinweis mehr auf eigens genutzte Zertifikate vorhanden wäre.

        Applocker ist definitiv auch ein böses, böses Thema. Kann man auch noch auf WaWi-Systeme (Sage anyone) ausdehnen, die eh zig Programmiersprachen verwurschteln, Verschlüsselung raufgepappt haben und querfeldein mixen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert