Windows 10: NSA weist Microsoft auf Sicherheitslücke hin

Die NSA hat eine schwerwiegende Schwachstelle in Windows 10 entdeckt und daraufhin unerwarteterweise Microsoft alarmiert. In der Vergangenheit habe der größte Auslandsgeheimdienst der USA derartige Sicherheitslücken nicht gemeldet, sondern selbst ausgenutzt, wie jetzt die Washington Post berichtet.

Geheimdienst informiert Microsoft

Bislang habe die NSA unbekannte Sicherheitslücken in der Regel dafür genutzt, um Spionage-Werkzeuge zu entwickeln. Dies stelle eine „ganz neue Herangehensweise“ seitens des Geheimdienstes dar, zitiert die Washington Post die Direktorin der Abteilung für Cyber Security bei der NSA, Anne Neuberger.

This is a change in approach by NSA of working to share, working to lean forward and then working to really share the data as part of building trust.

As soon as we learned about [the flaw], we turned it over to Microsoft.

Anne Neuberger, Director of Cybersecurity Directorate at NSA

Noch vor einigen Jahren hätte die NSA mit dem gefährlichen und von ihr selbst programmierten Exploit EternalBlue einen Programmierfehler in der SMB-Implementierung Jahre lang selbst ausgenutzt, wie die Tageszeitung kritisch anmerkt. Diese Sicherheitslücke nutzte später auch der Krypto-Trojaner WanneCry aus. Nun trete der Geheimdienst aber erstmalig selbst als Hinweisgeber in Erscheinung.

Schwachstelle soll per Update geschlossen werden

Microsoft selbst äußerte sich ebenfalls bereits zu der Sicherheitslücke, die laut dem Sicherheitsexperten Brian Krebs in der Windows-Komponente crypt32.dll für die Steuerung von Zertifikaten und Kryptografiefunktionen steckt.

Das Unternehmen aus Redmond will die Schwachstelle seinerseits bereits behoben haben und gibt an, dass Anwender mit einem aktuellen Windows 10 inklusive der Updates vom 14. Januar bereits geschützt seien, so Senior Director Jeff Jones gegenüber der Washington Post.

A security update was released on January 14, 2020 and customers who have already applied the update, or have automatic updates enabled, are already protected. As always we encourage customers to install all security updates as soon as possible.

Jeff Jones, Senior Director at Microsoft

Mittlerweile hat die NSA einen Sicherheitshinweis (PDF), ein sogenanntes Cyber Security Advisory zur Sicherheitslücke mit der offiziellen Kennung CVE-2020-0601 herausgegeben und auch das CERT Coordination Center (CERT/CC) hat sich bereits entsprechend geäußert und stufte das potenzielle Risiko mit einem Score von 9,4 als besonders hoch ein.

Microsoft selbst hat seinerseits ebenfalls eine entsprechende Dokumentation mit Sicherheitshinweisen veröffentlicht und bietet das Sicherheitsupdate mit der Kennung KB4534306 über die automatische Update-Funktion der betroffenen Betriebssysteme Windows 10, Windows Server 2019 und Windows Server 2016 an.