Menü
iX Magazin

Windows 10: Gefährlicher Zertifikats-Wirrwarr

Windows 10 sammelt fleißig Benutzerdaten und überträgt sie an Microsoft. Ausgerechnet dabei verzichtet das Betriebssystem auf einen ansonsten verwendeten Schutz vor falschen Zertifikaten - sensible Daten könnten so zur leichten Beute werden.

Von
vorlesen Drucken Kommentare lesen 1484 Beiträge
Zertifikat im Umschlag

Mittlerweile verteilt Microsoft sein neues Betriebssystem Windows 10 per Upgrade-Tool, mit dem Nutzer von Windows 7 und Windows 8.1 seit einiger Zeit versorgt werden. Dabei informiert das Unternehmen die Benutzer jedoch nicht über Risiken und Nebenwirkungen des Upgrades. Übernimmt man bei der Express-Installation die empfohlenen Optionen, hat man eine Art Abhöranlage eingerichtet. Doch es kommt noch schlimmer: Windows 10 verzichtet ausgerechnet beim Datensammeln auf moderne Techniken, sich vor falschen Zertifikaten zu schützen und macht so vertrauliche Nutzerdaten zur möglicherweise leichten Beute.

Entschlüsseln des SSL-geschützten Datenverkehrs vor der Firewall: Weil Windows bei seinen Cloud-Diensten auf Zertifikats-Pinning verzichtet, kann jeder Provider, Geheimdienst oder sonstige Unbekannte mitlesen, wenn er ein scheinbar gültiges Zertifikat vorweisen kann.

Beim Übertragen der diversen Telemetriedaten, Nutzereinstellungen, URLs, BitLocker-Keys und Passwörter in die Microsoft-Cloud kommt zwar SSL-Verschlüsselung zum Einsatz. Jedoch kontrolliert Windows 10 lediglich, ob das vorgezeigte Zertifikat von einer im Betriebssystem hinterlegten Zertifizierungsstelle (Certificate Authority, CA) stammt, und akzeptiert es in diesem Fall klaglos. Damit kann jede im Certificate Store hinterlegte CA für jeden Dienst Zertifikate ausstellen. Dieses lange bekannte Problem beim Verschlüsseln per SSL ist eine strukturelle Schwachstelle des CA-Systems und erlaubt einem Angreifer das Mithören des verschlüsselten Datenverkehrs per Man-in-the-Middle (MITM), indem er ein Zertifikat vorweist, das von einer dem System bekannten CA ausgestellt wurde.

Schutz vor diesem Angriff bietet die vergleichsweise neue Technik des Certificate Pinning: Man nagelt dabei entweder das gesamte Zertifikat eines Dienstes oder bestimmte Eigenschaften davon fest, etwa den verwendeten Schlüssel (Public Key) oder die ausstellende CA. Ein untergeschobenes Zertifikat von einer anderen CA würde damit auffallen. Untersuchungen haben gezeigt, dass alle Cloud-Dienste von Windows 10, die fürs Datensammeln zuständig sind, auf Certificate Pinning verzichten und sich beliebige Zertifikate unterschieben lassen.

Doch es gibt Ausnahmen davon: Das Windows Update etwa nutzt Certificate Pinning. Microsoft ist sich demnach der Bedeutung dieser Technik etwa für den Schutz vor gefälschten Updates durchaus bewusst. Doch gerade beim Übertragen der sensiblen Benutzerdaten, die der Konzern einsammelt, setzt er sie nicht ein.

Googles Browser Chrome beispielsweise setzt seit Längerem auf Pinning für die eigenen Zertifikate und eine ausgewählte Liste bekannter Dienste. Auf diese Weise erkennt er gefälschte Goolge-Zertifikate, aber auch solche für Dropbox, Facebook und weitere Seiten und blendet in diesem Fall eine Warnung ein. Auch Mozillas Firefox setzt Pinning ein. Und auch Microsofts neuer Browser Edge nutzt Zertifikats-Pinning, jedoch nur für Dropbox. Im Test fiel er etwa bei Facebook und ausgerechnet beim Microsoft-eigenen Cloud-Dienst OneDrive auf falsche Zertifikate herein. Auch den Edge-Entwicklern ist das Konzept demnach vertraut.

Windows 10

Windows 10 soll das letzte Windows sein, aus dem klassischen Betriebssystem wird "Windows as a Service". Doch obwohl Microsoft es im ersten Jahr verschenkt, gibt es viel Kritik, etwa an der Datensammelwut und am Gedrängel zum Upgrade.

Verfolgt ein Angreifer mit einem falschen Zertifikat den verschlüsselten Datenverkehr von Windows 10, gelangt er etwa an die URLs samt Parametern im Browserverlauf von Edge und könnte damit eine Websession übernehmen oder einen Denial-of-Service-Angriff starten. Ist die Option "Sync Settings" aktiviert, gelangt er an Cookies, Nutzernamen und Passwörter. Sogar lokale URLs aus dem Intranet einer Firma landen in der Microsoft-Cloud und damit möglicherweise bei einem Fremden.

Die digitale Assistentin Cortana würde Unbekannten unter anderem sämtliche Programmaufrufe des Benutzers bis hin zu einer Schrift- und Sprachprobe liefern. Beim Übertragen von Daten zu OneDrive könnte man sogar BitLocker-Keys und dort hinterlegte Passwörter mitlesen.

Microsoft hat bislang keine Stellungnahme zu den Untersuchungsergebnissen abgegeben. Unklar bleibt, warum der Hersteller diese Inkonsistenzen im Sicherheitskonzept von Windows 10 duldet – es wäre naheliegend, zumindest die Zertifikate für die eigenen Dienste zu pinnen.

Damit solche sensiblen Daten gar nicht erst bei Microsoft und womöglich in unbefugten Händen landen, sollte man unbedingt die Datensammelwut von Windows 10 mit geeigneten Einstellungen begrenzen. Weitere Details zur lückenhaften Zertifikatsprüfung in Windows 10 enthält die kommende iX-Ausgabe 09/2015 (ab dem 27. August am Kiosk). (Lukas Grunwald) / (tiw)