Menü
Alert! Security

Gefälschtes Microsoft-Zertifikat im Umlauf

Unbekannte haben es geschafft, sich ein gültiges Zertifikat für die finnische Live-Domain ausstellen zu lassen. Windows-Nutzer sollten ein Update, welches das Zertifikat blockt, so schnell wie möglich einspielen, um nicht Opfer eines Angriffs zu werden.

Von
vorlesen Drucken Kommentare lesen 164 Beiträge
Comodo bringt gefälschtes Microsoft-Zertifikat in Umlauf

Microsoft warnt davor, dass Unbekannte es geschafft haben, ein SSL-Zertifikat für die Domain live.fi zu fälschen. Diese Domain wird dafür benutzt, die finnische Version der Windows Live Services bereitzustellen. Mit dem gefälschten Zertifikat könnte sich ein Angreifer in die gesicherte Verbindung zu den Microsoft-Servern einklinken und Daten abgreifen. Microsoft sagt, man wisse momentan von keinen akuten Angriffen, hat allerdings Updates bereitgestellt, um die betroffenen Zertifikate zu sperren.

Das gefälschte Zertifikat wurde wohl von Comodo ausgestellt, dem weltweit größten Anbieter für SSL/TLS-Zertifikate. [Update]Laut Microsoft haben sich Unbekannte ein E-Mail-Konto unter der live.fi-Domain registriert, mit dem sie ein neues Zertifikat für die Domain ordern und dann auf etwaige Rückfragen direkt antworten konnten. Zertifizierungsstellen nutzen für solche Bestätigungen meist E-Mail-Adressen wie admin@ oder ähnliches und es scheint, als hätten die Unbekannten eine solche Adresse anmelden können.[/Update]

Das wirft natürlich die Frage auf, ob Zertifizierungsstellen wie Comodo über eine einfache E-Mail hinaus weitere Überprüfungen durchführen sollten. Dies entspricht momentan allerdings der gängigen Praxis in der Branche. Besonders Comodo sollte das Problem von gefälschten Zertifikaten bekannt sein, die Firma war schon 2011 in eine ähnlichen Fall verwickelt.

Nutzer von Windows 8, 8.1, Server 2012, Server 2012 R2 sowie Windows Phone 8 und 8.1 erhalten ein automatisches Update, welches die Liste mit vertrauenswürdigen Zertifikaten des Betriebssystems anpasst. Nutzer von Windows Vista, 7, Server 2008, Server 2008 R2 und Server 2003 müssen unter Umständen das Update (KB2917500) manuell installieren. Die automatische Zertifikats-Sperrung kann aber auch unter Vista, Windows 7 und Server 2008 R2 mit einem weiteren Update nachgerüstet werden, so dass auch diese Systeme in Zukunft von automatischen Updates der Sperrlisten profitieren.

Microsoft empfiehlt, etwaige Updates einzuspielen, um nicht Opfer eines Man-in-the-Middle-Angriffs zu werden. Das betrifft allerdings hauptsächlich den Internet Explorer und Google Chrome, welche die Zertifikatsverwaltung von Windows nutzen. Andere Browser-Hersteller müssen selbst entsprechende Updates bereitstellen und werden das sehr wahrscheinlich auch bald tun. Software-Updates wie in diesem Fall sind momentan die einzige verlässliche Möglichkeit, kompromittierte Zertifikate zu sperren. Methoden wie Certificate Revocation Lists (CRLs) und das Online Certificate Status Protocol (OCSP) haben akute Probleme, die sie zu unzuverlässig machen.

[Update 17.03.2015 15:26] Angaben zu der betroffenen E-Mail-Adresse unter Berufung auf Microsofts Advisory spezifiziert.

[Update 17.03.2015 16:28] Informationen zu Google Chrome ergänzt.
(fab)