Gefälschtes Microsoft-Zertifikat: Sicherheitsrisiko oder schlechter Scherz?

Ein finnischer IT-Experte wollte wissen, ob es funktioniert, ein SSL-Zertifikat für die Domain „live.fi“ zu fälschen. Dass dies dem Finnen glückte, ist ein zweischneidiges Schwert: Einerseits kann dies nun für Angriffe ausgenutzt werden, andererseits zeigt der Vorfall, wie wichtig die korrekte Validierung ist.

Update zum Blockieren des Zertifikats

Microsoft hat jüngst eine Warnung herausgegeben, in der zu lesen ist, dass es Unbekannten gelungen sei, ein SSL-Zertifikat zu fälschen. Eingesetzt wurde das Zertifikat auf der Domain „live.fi“, also der finnischen Version von Microsofts Windows Live Services. Das gefälschte Zertifikat erlaubt es Angreifern, sich in die verschlüsselte Verbindung zu den Servern von Microsoft einzuklinken und Daten abzufischen. Microsoft möchte nichts von akuten Angriffen wissen, hat jedoch Updates bereitgestellt, um betroffene Zertifikate zu sperren.

In der Zwischenzeit stellte sich heraus, dass die Unbekannten, die Microsoft erwähnt, ein finnischer IT-Experte ist. Der Finne habe Microsoft über sein Vorgehen informiert, der Redmonder Software-Riese reagierte jedoch nicht auf die Warnungen. Heise berichtet: „Er habe die E-Mail-Adresse „zum Spaß“ registriert, um auszuprobieren, ob er das könne.“ Zum Spaß hat der Finne gleich weiter getestet: Er bekam ein domainvalidiertes SSL-Zertifikat und informierte darüber neben einer finnischen Regulierungsbehörde erneut Microsoft.

Einem Bericht des finnischen Magazins Tivi zufolge hat Microsoft mehrere Kontaktversuche des Finnen an unterschiedliche E-Mail-Adressen von Microsoft ignoriert. Erst jetzt veröffentlichte der Software-Konzern das Problem im Rahmen seiner Sicherheitswarnung; dem Finnen wurde der Zugang zu seinem Live- und Xbox-Account sowie zu seinem Lumia-Handy gesperrt. Microsoft reagierte also doch, jedoch erst vier bis sechs Wochen nach der Information über das Problem. Entsprechen die Aussagen des Finnen der Wahrheit, sind Angriffe unwahrscheinlich und Nutzer könnten aufatmen. Jedoch kann niemand voraussagen, ob Angriffe ausbleiben, weshalb Updates unbedingt angeraten sind.

Vorsicht vor Man-in-the-Middle-Angriffen

Microsoft hat Updates bereitgestellt, die nur teilweise automatisch verteilt werden:

• Windows 8/8.1, Windows Phone 8/8.1, Server 2012/2012 R2: Sie erhalten ein automatisches Update, welches die Liste der vertrauenswürdigen Zertifikate Ihres Betriebssystems anpasst.
• Windows Vista, 7, Server 2003, Server 2008/2008 R2: Unter Umständen müssen Sie das Update manuell installieren. Die verschiedenen Downloads für die unterschiedlichen Systeme finden Sie bei Microsoft.

Unter Vista, 7 sowie Server 2008 R2 haben Sie zudem die Option, die automatische Zertifikats-Sperrung durch ein weiteres Update nachzurüsten. So profitieren Sie künftig ebenfalls von den Auto-Updates der Sperrlisten.

Das Einspielen des Updates ist wichtig, damit Sie nicht Opfer eines Man-in-the-Middle-Angriffs werden. Insbesondere gilt das für Nutzer der Browser Internet Explorer oder Chrome. Diese beiden verwenden nämlich die Windows-Zertifikatsverwaltung. Andere Browser-Entwickler wie beispielsweise Mozilla oder Opera müssten eigene Updates bereitstellen; sehr wahrscheinlich folgen deren Updates in Kürze.

Derzeit sind Software-Updates dieser Art so ziemlich die einzige verlässliche Methode, um kompromittierte Zertifikate sperren zu können. Dies zeigt einen Missstand im Zertifikatesystem auf: Aktuelle Methoden wie OCSP oder CRLs sind so problembehaftet, dass sie unzuverlässig sind; Heise zeigt das in diesem Beitrag sehr gut auf. Google möchte dieses Problem mit Certificate Transparency (CT) angehen; wir berichteten bereits darüber. CT setzt dabei an, kompromittierte Zertifikate schneller aufzuspüren, sodass dieses Projekt bereits viel Sicherheit bieten wird. Domainvalidierte SSL-Zertifikate können jedoch nicht die Sicherheit geben, die EV-Zertifikate leisten – ein Extended Validation-Zertifikat kann man sich nicht erschleichen, da die Validierung sehr umfangreich ausfällt.