NSA: Microsoft schließt brisante Sicherheitslücke
Microsoft hat eine bedrohliche Sicherheitslücke geschlossen, die nach Einschätzung von Experten seit 20 Jahren bestanden haben könnte. Sie betrifft die Datei crypt32.dll in einer Bibliothek von Windows 10 sowie Windows Server 2016/2019. Die Datei wird von Anwendungen genutzt, die Sicherheitszertifikate überprüfen, beispielsweise beim Surfen über das HTTPS-Protokoll.
Durch den Fehler sei es möglich gewesen, die betroffenen Anwendungen zu überlisten und schädlichen Code einzuschleusen, kommentiert der Sicherheitsexperte Dominik Herrmann von der Otto-Friedrich-Universität Bamberg gegenüber dem Science Media Center. Zugänglich war die Sicherheitslücke demnach allerdings nur für gut ausgestattete Angreifer, welche die Möglichkeit hatten, in den Datenverkehr von Nutzern einzugreifen.
Ungewöhnlich ist die Entdeckungsgeschichte der Lücke: Laut Microsoft hat der US-Auslandsgeheimdienst NSA sie gemeldet. Spätestens seit den Snowden-Enthüllungen steht die NSA im Ruf, Schwachstellen in öffentlich verfügbarer Software gezielt für eigene Zwecke auszunutzen.
Dass die Behörde im Fall von CVE-2020-0601 anders vorgegangen ist, erklärt Herrmann zum einen mit einer Abwägung, die wohl bei der NSA stattgefunden habe: Wahrscheinlich seien die Geheimdienstler der Meinung gewesen, dass das Risiko durch ein Offenlassen den möglichen Nutzen bei Weitem übersteigt. Zum anderen könnte ein anderer Grund eine Rolle gespielt haben: »Vermutlich soll dadurch das Image des Nachrichtendienstes verbessert werden«, so der Informatiker.
Denkbar ist auch ein drittes Szenario: Womöglich war die Lücke der NSA schon lange bekannt. Nun könnte jedoch ein anderer Geheimdienst davon Wind bekommen haben. Um diesem das Einfallstor in verschlüsselte Kommunikation zu verschließen, könnte die NSA die Schwachstelle öffentlich gemacht haben.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.