Der US-Geheimdienst NSA hat eine Windows-Sicherheits-Lücke an Microsoft gemeldet, anstatt diese für eigene Zwecke auszunutzen.

Im Rahmen des gestrigen “Patch-Tuesday” hat Microsoft einen kritischen Fehler, der mit der CVE-2020-0601 gekennzeichnet wurde, in der Windows 10 und Windows Server 2016 bzw. 2019 Version der crypt32.dll behoben.

Wie heise hier berichtet, wurde die Schwachstelle durch die NSA gemeldet. Nach Angaben der Deputy National Managerin der NSA Anne Neuberger wollen sie ihr Wissen über Hard- und Softwareschwachstellen künftig teilen um Vertrauen aufzubauen. In welchem Maße dies geschieht, bleibt allerdings abzuwarten.

Weitere Fakten über die Schwachstelle kann einem Blog-Artikel der NSA entnommen werden.

Was bedeutet diese Schwachstelle?

Grundsätzlich könnte ein Angreifer die Lücke mithilfe eines gefälschten Code-Signing-Zertifikats ausnutzen und Benutzer dazu bringen, sich Malware herunterzuladen und zu installieren, da sich diese aufgrund einer gefälschten Signatur als vertrauenswürdig ausgibt. Der Download könnte beispielsweise durch ein Software-Update durchgeführt werden.

Wie würde ein Angriffsszenario aussehen?

Als erstes müsste eine malicious ausführbare Datei mit einem gefälschten Zertifikat signiert werden. Diese Datei müsste anschließend zum Download aus einer vertrauenswürdigen Quelle bereitgestellt werden.

Anschließend müssten sich die Opfer diese infizierte Datei runterladen und installieren.

Darauf folgend müsste eine Man-in-the-Middle Attacke durchgeführt werden um vertrauliche Informationen des Opfers zu entschlüsseln.

Mit dem folgenden Befehl kann überprüft werden, ob es Anzeichen für ein Ereignis gibt, das mit der Schwachstelle in Verbindung gebracht werden kann:

Get-WinEvent -FilterHashtable @{ LogName = 'Application'; Id = 1; ProviderName = 'Microsoft-Windows-Audit-CVE' } | select -Property * -ExcludeProperty MachineName, UserId

Um die aktuelle Version der crypt32.dll auszugeben, kann der folgende Befehl angewandt werden:

[System.Diagnostics.FileVersionInfo]::GetVersionInfo("C:\Windows\System32\crypt32.dll").ProductVersion

Check the file signatures and dates

• Eg: On windows 10, the new DLL is signed with the following timestamp “Friday 3 january 2020 06:14:45”
• Eg: On Windows 10, the new DLL has the following version “10.0.18362.592”
• Eg: On Windows 10, the new DLL has the following hashes:
  • CRC32: 2B82D538
  • CRC64: 14D5AADB0BD14B22
  • SHA256: E832E3A58B542E15A169B1545CE82451ACE19BD361FD81764383048528F9B540
  • SHA1: 7A9DD389B0E3C124D4BFE5C1FF15F9A93285514F
  • BLAKE2sp: EEE317CD4E1C395DD1DBCA3DCD066728FAE00250D6884EA63B9F6CAD83C14610