Neue Sicherheitslücke wird bei Windows 7 nicht mehr behoben
REDMOND (dpa) Der US-amerikanische Softwarehersteller Microsoft hat eine große Sicherheitslücke in seinem Windows-Betriebssystem geschlossen, die es Schadsoftware erlaubte, sich als ein normales Programm auszugeben. Der Hinweis kam vom US-Abhördienst NSA, der die Schwachstelle entdeckte und dem Softwarekonzern meldete. Die Sicherheitslücke kann nur durch die Installation des am vergangenen Dienstag veröffentlichten Updates für Windows 10, 8.1 und Windows Server (2012, 2016 und 2019) geschlossen werden.
Für das veraltete Betriebssystem Windows 7, das noch auf Millionen PCs läuft, wird es dagegen kein kostenloses Sicherheitsupdate mehr geben. In dem Hinweis zum monatlichen Update verwies Microsoft lediglich darauf, dass der Support für Windows 7 und ältere Server-Systeme am Dienstag, 14. Januar, ausgelaufen sei. Firmen und Organisationen können über einen kostenpflichtigen Wartungsvertrag noch mit dem notwendigen Patch versorgt werden. Bei Privatkunden dagegen können neue Sicherheitslücken nicht mehr geschlossen werden.
Bei US-Geheimdiensten gibt es ein Abwägungsverfahren, in dem entschieden wird, ob eine von ihnen entdeckte Sicherheitslücke stillschweigend ausgenutzt oder dem
Unternehmen gemeldet wird.
Vor ein paar Jahren wurde eine früher von der NSA genutzte Schwachstelle öffentlich bekannt und machte die Welle von Angriffen mit dem WannaCry-Trojaner möglich. Über 200 000 Computer in 150 Ländern waren betroffen.Das Schadprogramm verschlüsselte Computer und forderte Lösegeld von den Besitzern. Betroffen waren unter anderem britische Krankenhäuser und die Bahn in Deutschland.
Im aktuellen Fall fand die NSA heraus, dass Windows unter Umständen gefälschte Zertifikate von Software akzeptierte. Solche Zertifikate sind in vielen Fällen die Voraussetzung dafür, dass Programme auf Computern laufen dürfen. Dieses System sei grundsätzlich weiterhin sicher, nur seine Umsetzung in diesem konkreten Fall müsse korrigiert werden, betonte die NSA.
Technisch gesehen hat der Fehler bei der Prüfung von Signaturen mit einer Schwachstelle in einer Software-Komponente für die Verschlüsselungstechnik (Windows CryptoAPI) zu tun. Das gilt sowohl für Codesignaturen als auch für so genannte TLS-Zertifikate. Bei einem Angriff habe der Benutzer keine Möglichkeit, eine Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauenswürdigen Anbieter stammt, erläuterte Microsoft.