Schannel, die parfürmierte Sicherheitslücke
Microsoft hat in Folge der Heartbleed-Lücke die eigene Crypto-Bibliothek durchgeschaut und wurde fündig. MS14-066 stuft den Fehler als "kritisch" ein. Was ist da eigentlich passiert und wen betrifft das überhaupt?
Laut Spiegel Online soll man sich Gedanken machen, wenn ein Windows einen Server-Dienst anbietet. Laut Microsoft sind Browser betroffen, die bösartige Webseiten ansurfen.
So wie es dasteht ist folgendes geschehen:
- Microsoft verwendet für alle Crypto-Funktionen einen gemeinsame zentral gepflegte Bibliothek. Das ist gute Praxis.
- Diese Bibliothek hat einen Fehler, der es gestattet – sobald man eine verschlüsselte Verbindung mit TLS aufbauen konnte – dem Kommunikationspartner Daten so zuzuschicken, daß dieser Teile der Daten als Programmcode ausführt.
- Die Ausführung erfolgt damit unter den Rechten des aktiven Programms, bei einem Serverdienst also oft mit Systemrechten.
- Es ist unklar, ob beim Einsatz von IIS die Codeausführung sogar mit Kernelrechten abläuft, da der IIS große Teile der Kommunikation als Kernelmodul ausgelagert hat.
Betroffen sind also alle Produkte, die sich bei Heartbleed noch freuen konnten, weil sie die Microsoft-Bibliothek benutzt haben.
- Webserver und FTP-Server auf Basis von IIS
- Outlook beim Abruf und Versand von E-Mail mit externen POP3/IMAP Postfächern und SMTP-Servern. Dank der Veröffentlichungen von Herrn Snowden zu den NSA Schnüffeleien haben ja viele Anbieter einen SSL-Zwang eingeführt.
- Internet Explorer, die über HTTPS Daten abrufen.
- Der eingebaute VPN-Client, bei Verbindungen, die über HTTPS tunneln (also keine reinen IPSec/L2TP Tunnel), um die Firewalls zu umgehen.
- Der Microsoft VPN Service DirectAccess, der die Verbindungen über HTTPS abhandelt (wegen der bösen Firewall-Admins, die ihre Arbeit machen)
- Weitere Microsoft und Drittanbieter-Programme, die diese Bibliothek (sinnvollerweise) nutzen, um verschlüsselt zu kommunizieren. Dabei gilt die Daumenregel: Wo ein Zertifikat verlangt wird, ist Gefahr im Verzug.
Die Pressewirkung ist noch überschaubar. Man ist von den bisherigen Meldungen abgestumpft und "Schannel" klingt auch mehr nach einem Parfüm als nach einer Herzattacke.
Kurz und gut: Es ist wie immer. Man spiele die Patches schnell ein und lehne sich zurück. Ein Exploit wird kommen, aber nicht so schnell.
Es ist selbstverständlich möglich, dass nicht nur TLS, sondern auch andere Formen von SSL betroffen sind. Dann hätte man bei der Erstbeschreibung der Lücke geschlampt und redet nur noch über aktuell üblicherweise empfohlene Protokolle. Und das wäre schade, weil es Anwender der anderen Protokolle in trügerischer Sicherheit wiegen würde.
Update
Der Text auf der Microsoft-Seite hat sich geändert.
- Jetzt steht da, dass nicht nur Clients, sondern Server betroffen sind.
- Und es steht nicht mehr da, dass es bei einem internen Audit gefunden wurde, sondern von extern an Microsoft gemeldet wurde.
- Es steht auch nicht mehr da, dass es derzeit keine aktiven Exploits gibt.
Update
Ich hatte hier kürzlich geschrieben, dass die News-Webseite das Auffinden der Lücke Robert Freeman von IBM zuschreibt. Und dass dieser sagt, die Lücke sei seit seit Mai 2014 öffentlich und würde aktiv ausgenutzt.
Das ist aber eine Fehlinterpretation meinerseits gewesen, denn es handelt sich um eine journalistische Vermischung zweier Sicherheitslücken. Mea culpa.