Gefälschte Zertifikate: Sicherheitsupdates für Windows XP und Windows Server 2003

Microsoft hat den Sicherheitshinweis 2607712 und den zugehörigen Eintrag in der Knowledgebase überarbeitet und stellt jetzt auch Sicherheitsupdates für Windows XP (32- und 64bit) sowie Windows Server 2003 (32- und 64bit sowie Itanium) bereit. Die Updates entziehen einer Reihe von Root-Zertifikaten von DigiNotar das Vertrauen und verschieben sie in den Microsoft Untrusted Certificate Store. Die Updates werden derzeit noch nicht per Windows Update verteilt, so dass Kunden sie momentan noch manuell aus der Knowledgebase herunterladen müssen.

Das Update wurde notwendig, da in der vergangenen Woche ein Angriff auf die Zertifizierungsstelle DigiNotar bekannt wurde. Wie derzeit bekannt ist, wurden mehr als 500 Zertifikate für Domains wie *.google.com oder *.microsoft.com ausgestellt. Mehr Details zu den betroffenen Domains liefert unter anderem heise security.

Obwohl auch *.windowsupdate.com und www.update.microsoft.com betroffen sind, bestand zu keinem Zeitpunkt die Gefahr, dass Windows-Nutzern per Windows Update bösartig manipulierte Sicherheitsupdates untergeschoben werden: Der Windows-eigene Updatemechanismus stellt die Echtheit eines Sicherheitsupdates anhand von diversen Faktoren fest, wobei die URL des Updateservers nur einer davon ist.

Auch generell ist die Gefahr relativ gering, Opfer eines Angriffs mittels der gefälschten Zertifikate zu werden. Voraussetzung für eine erfolgreiche Attacke ist ein vorheriges Kompromittieren der DNS-Infrastruktur beziehungsweise die Kontrolle über das lokale Netzwerk durch den Angreifer. Letzteres ist beispielsweise in öffentlichen Netzwerken (Internet-Cafés, WLAN-Hotspots) der Fall, ersteres erfordert in der Regel einen staatlichen Eingriff oder zumindest eine Manipulation durch die ISPs.