Microsoft Crypt32.dll / CryptoAPI Flaw

US-Geheimdienst NSA meldet Sicherheitslücke in Windows, anstatt sie auszunutzen. Microsoft hat den Fehler behoben.

News
January 15, 2020
5
 Minuten

Der US-Geheimdienst NSA hat eine Windows-Sicherheits-Lücke an Microsoft gemeldet, anstatt diese für eigene Zwecke auszunutzen.

Im Rahmen des gestrigen "Patch-Tuesday" hat Microsoft einen kritischen Fehler, der mit der CVE-2020-0601 gekennzeichnet wurde, in der Windows 10 und Windows Server 2016 bzw. 2019 Version der crypt32.dll behoben. Wie heise hier berichtet, wurde die Schwachstelle durch die NSA gemeldet. Nach Angaben der Deputy National Managerin der NSA Anne Neuberger wollen sie ihr Wissen über Hard- und Softwareschwachstellen künftig teilen um Vertrauen aufzubauen. In welchem Maße dies geschieht, bleibt allerdings abzuwarten. Weitere Fakten über die Schwachstelle kann einem Blog-Artikel der NSA entnommen werden.

Was bedeutet diese Schwachstelle?

Grundsätzlich könnte ein Angreifer die Lückemithilfe eines gefälschten Code-Signing-Zertifikatsausnutzen und Benutzer dazu bringen, sich Malware herunterzuladen und zu installieren, da sich diese aufgrund einer gefälschten Signatur als vertrauenswürdig ausgibt. Der Download könnte beispielsweise durch ein Software-Update durchgeführt werden.

Wie würde ein Angriffsszenario aussehen?

Als erstes müsste eine malicious ausführbare Datei mit einem gefälschten Zertifikat signiert werden. Diese Datei müsste anschließend zum Download aus einer vertrauenswürdigen Quelle bereitgestellt werden. Anschließend müssten sich die Opfer diese infizierte Datei runterladen und installieren. Darauf folgend müsste eine Man-in-the-Middle Attacke durchgeführt werden um vertrauliche Informationen des Opfers zu entschlüsseln.

Mit dem folgenden Befehl kann überprüft werden, ob es Anzeichen für ein Ereignis gibt, das mit der Schwachstelle in Verbindung gebracht werden kann:

[code]Get-WinEvent -FilterHashtable @{ LogName = 'Application'; Id = 1; ProviderName = 'Microsoft-Windows-Audit-CVE' } | select -Property * -ExcludeProperty MachineName, UserId[/code]

Um die aktuelle Version der crypt32.dll auszugeben, kann der folgende Befehl angewandt werden:

[code][System.Diagnostics.FileVersionInfo]::GetVersionInfo("C:\Windows\System32\crypt32.dll").ProductVersion[/code] Check the file signatures and dates

  • Eg: On windows 10, the new DLL is signed with the following timestamp "Friday 3 january 2020 06:14:45"
  • Eg: On Windows 10, the new DLL has the following version "10.0.18362.592"
  • Eg: On Windows 10, the new DLL has the following hashes:
    • CRC32: 2B82D538
    • CRC64: 14D5AADB0BD14B22
    • SHA256: E832E3A58B542E15A169B1545CE82451ACE19BD361FD81764383048528F9B540
    • SHA1: 7A9DD389B0E3C124D4BFE5C1FF15F9A93285514F
    • BLAKE2sp: EEE317CD4E1C395DD1DBCA3DCD066728FAE00250D6884EA63B9F6CAD83C14610

Sie möchten Informationssicherheit und Datenschutz im Unternehmen umsetzen?

Dann sprechen Sie uns gerne unverbindlich an!
  • Ganzheitliche Sicherheitslösungen – abgestimmt auf Ihr Unternehmen
  • Verlässlich. Vorausschauend. Kundenorientiert.
Vielen Dank, wir werden Ihre Anfrage umgehend bearbeiten!
Oops! Something went wrong while submitting the form.