Der erste Patch-Dienstag des Jahres 2020 steht vor der Tür und es scheint, dass Microsoft nicht gut ins Jahr startet.
Nach einer sehr ruhigen Dezember 2019 Patch-Dienstag mit geringen bis gar keinen Änderungen soll das neue Update eine sehr wichtige Sicherheitslücke schließen, die mit einer kryptografischen Kernkomponente in allen Versionen von Windows verbunden ist.
Microsoft hat vor dem Patch Tuesday einen Sicherheitspatch veröffentlicht
Die Komponente heißt Crypt32.dll und ist verantwortlich für die Implementierungen der meisten Zertifikats- und kryptografischen Messaging-Funktionen in der CryptoAPI:
Crypt32.dll ist ein Modul, das mit den Betriebssystemen Windows und Windows Server geliefert wird, aber verschiedene Versionen dieser DLL bieten unterschiedliche Funktionen.
Dies mag zwar etwas technisch klingen, aber das Wichtigste, was Sie wissen müssen, ist, dass die CryptoAPI Entwicklern hilft, Windows-Apps durch Kryptographie mehr Sicherheit zu verleihen. Das Verschlüsselung und die Entschlüsselung der Daten erfolgt unter Verwendung digitaler Zertifikate.
Um diese Sicherheitslücke weiter zu bestätigen, scheint es, dass das große M angeblich vor dem 14. Januar Patch Tuesday einen Patch veröffentlicht hat, um ihn zu beheben. Es wurde an wichtige Kunden, Unternehmen, die mit Internet-Infrastruktur arbeiten, und Zweigstellen des US-Militärs verschickt.
Natürlich hat Microsoft durch Geheimhaltungsvereinbarungen dafür gesorgt, dass keiner von ihnen das Problem vor dem 14. Januar offenlegen kann. Als ein Antwort gegenüber KrebsonSecurity erklärte das Unternehmen:
Durch unser Programm zur Validierung von Sicherheitsupdates (SUVP), veröffentlichen wir Vorabversionen unserer Updates zum Zwecke der Validierung und Interoperabilitätstests in Laborumgebungen. Teilnehmern dieses Programms ist es vertraglich untersagt, den Fix außerhalb dieses Zwecks auf ein System anzuwenden, und sie dürfen ihn nicht auf die Produktionsinfrastruktur anwenden.
Die Auswirkungen sowie die Sicherheitsrisiken sind enorm, wenn man bedenkt, dass das US-Militär und andere Ziele mit hoher Priorität an erster Stelle auf der Liste von Microsoft standen.
Kann sich diese Sicherheitsanfälligkeit auf meinen Windows-PC auswirken?
Bestätigt die Schwachstelle einigermaßen, Will Dormann, Vulnerability Analyst beim CERT/CC, teilte einen sehr interessanten twittern:
Ich habe den Eindruck, dass die Leute vielleicht sehr genau darauf achten sollten, die morgigen Microsoft Patch Tuesday-Updates rechtzeitig zu installieren. Noch mehr als andere.
Ich weiß nicht… nenn es einfach eine Ahnung?
¯_(ツ)_/¯— Will Dormann (@wdormann) 13. Januar 2020
Wenn Sie sich über die Auswirkungen aus erster Hand wundern, wissen Sie, dass die Sicherheitslücke grundlegende Windows-Funktionen und personenbezogene Daten von Internet Explorer/Edge, Authentifizierungs- und Anmeldesicherheit und andere Apps von Drittanbietern.
Dies ist sehr besorgniserregend, da es zu Malware-Angriffe und Verlust privater Daten.
Zur Erinnerung, alle Windows-Versionen sind betroffen, einschließlich Windows XP und Windows Vista oder 7. Bereiten Sie sich also auf einen sehr holprigen Patch-Dienstag vor und behalten Sie die WindowsReport-Artikel zum Patch-Dienstag vom 14. Januar im Auge, um sich über neue Entwicklungen zu informieren.
