FREAK Attack: Auch Windows betroffen
In dieser Woche schlug eine Sicherheitslücke Wellen: “Factoring attack on RSA-EXPORT Key” oder kurz “FREAK-Attack”. FREAK ist ein Relikt aus den 90er Jahren, das einige Browser noch heute für Man-in-the-Middle Attacken anfällig macht und erst jetzt entdeckt wurde. Während die Betroffenen Apple und Google bereits auf Hochtouren an einem Fix arbeiten, kommt nun ans Licht, dass offenbar einige Windows-Versionen ebenfalls von der Sicherheitslücke betroffen ist.
Am Donnerstag veröffentlichte Microsoft einen Hinweis, dass die Windows Implementation von SSL/TLS (Secure Channel Schannel) für die FREAK Sicherheitslücke anfällig sei. Dennoch habe man bislang keinerlei Berichte über Attacken erhalten. Ursprünglich vermutete man, dass Windows immun gegen die FREAK Attacken sei. Doch nun könnten Hacker in der Theorie Windows-Nutzern mit relativ geringem Aufwand eine schwache Verschlüsselung aufzwingen und so in das System gelangen.
Microsoft gab dazu eine Stellungnahme ab:
„Microsoft is aware of a security feature bypass vulnerability in Secure Channel (Schannel) that affects all supported releases of Microsoft Windows,“ the company said in a security advisory. „The vulnerability facilitates exploitation of the publicly disclosed FREAK technique, which is an industry-wide issue that is not specific to Windows operating systems.“
Microsoft versichert gleichzeitig, dass man aktiv an einem Patch für die Lücke arbeite. Unterdessen veröffentlichte Microsoft mit der Stellungnahme auch eine Liste der betroffenen Windows Versionen:
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows 8 and 8.1
- Windows Server 2012
- Windows RT
Was ihr in der Zeit tun könnt? Leider nicht viel. Stecker ziehen ist wohl für die meisten keine Option sein. Da Apple bereits einen Patch für die kommende Woche angekündigt hat, dürfte auch Microsoft unter Druck stehen und sicherlich schnell mit einer Lösung um die Ecke kommen. Bis dahin solltet Ihr versuchen, so gut es geht die Seiten zu meiden, die durch die FREAK-Studie aufgelistet sind.
(Quelle: The Hacker News)
„FREAK ist ein Relikt aus den 90er Jahren, dass einige Browser….“
das* 😉
Weil die Kack US-Regierung schon damals den Unternehmen Hintertürchen aufzwingen wollte und jetzt quasi hat…. Leider zu spät zurückgerudert.
Das lustige ist, das in der Liste der betroffenen Seiten auch whitehouse.gov steht.
@Henry Outlook, Media Player und Dritt-Anbieter Software oder auch Spiele nutzen die Internet Explorer Engine. Das ist ein ähnliches Prinzip wie unter Apple iOS Apps die Browser-Engine nutzen.
Ich kenne noch viele, die Windows XP/Vista mindestens als Zweit-Rechner einsetzen und ausschließlich den Internet Explorer 8 nutzen ^^
Für Windows gibt es bereits einen Workaround (Technet):
Die deutsche Übersetzung findet ihr hier:
https://b-nm.at/freak-attack-windows-ebenfalls-betroffen-und-schnellhilfe/
Der Original-Link ist im Blog Eintrag ebenfalls verlinkt.
@Andreas, ich befürchte nur, dass nach diesem Workaround bei vielen im Business Umfeld OWA an Exchange nicht mehr funktioniert^^
Nach Liste ist Windows XP nicht betroffen- kann das sein??
Auf der FreakSeite sind nur drei .de Domains gelistet.
Nur einige Browser/OS-Kombinagionen sind betroffen.
Ist das alles mal wieder nur Panikmache?
Karl
Auf der Website https://freakattack.com/ sind die Kombinationen Windows + Chrome oder Firefox als sicher deklariert. Der Test hat bei mir gezeigt, dass wenn ich einer der o.g. Browser nutze, keine Gefahr lauf gefreakt zu werden. Kann man dem Vertrauen?
@minimalwerk: Da gibt es keinerlei Probleme mit OWA, außer man will per Mac Outlook sein Postfach abrufen ;-). Diesen Workaround habe ich schon längst wegen anderer Sicherheitsanforderungen und SSL-Problemen der letzten Monate bei uns umgesetzt.
Bzgl. MAC Outlook muss Apple erst noch ein entsprechendes update liefern.
So, heute morgen musste ich auf unseren ca. 200 Clients zurückrudern. Leider gingen so einige Websites nicht mehr mit dem IE und u.a. wurden ODBC Verbindungen zu SQL-Servern blockiert. Blöd… ist wohl Warten auf einen Patch angesagt.