Sicherheitshinweis: Fälschlich ausgestellte digitale Zertifikate machen Lauschangriff möglich

Microsoft hat gestern den Sicherheitshinweis 2916652 veröffentlicht, nachdem bekannt wurde, dass ein Zertifikat für eine untergeordnete Zertifizierungsstelle ausgestellt wurde, mit dem unter anderem Phishing- und Man-in-the-Middle-Attacken möglich werden. Ausgestellt wurde das Zertifikat von einer Behörde, die der Zertifizierungsstelle (CA) der französischen Regierung (ANSSI) unterstellt ist. Diese CA findet sich im Trusted Root Certification Authorities Store von Windows, so dass allen untergeordneten Zertifikaten ebenfalls vertraut wird. Betroffen sind alle derzeit unterstützten Windows-Versionen, wenngleich Microsoft derzeit keine Angriffe bekannt sind, die sich auf das betreffende Zertifikat stützen.

Das fehlerhaft ausgestellte Zertifikat wurde verwendet, um weitere Zertifikate für diverse Webseite, darunter Angebote von Google, zu erzeugen. Mittels dieser SSL-Zertifikate lassen sich die erwähnten Attacken auf Nutzer der Google-Dienste umsetzen. Derzeit ist unklar, ob das Zertifikat der CA auch missbraucht wurde, um weitere Zertifikate für andere Webseiten auszustellen.

Microsoft frischt die Certificate Trust List (CTL) in allen unterstützten Windows-Versionen auf, um den Missbrauch mittels des Zertifikats zu verhindern. Details hierzu finden sich im Abschnitt „Suggested Action“ des Sicherheitshinweises.