computerwoche.de

Archiv

Sicherheits-Update für alle Windows-Derivate

Patch von Microsoft stoppt falsche Verisign-Zertifikate

06.04.2001
MÜNCHEN (CW) - Ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, hat im Namen des Unternehmens zwei digitale Zertifikate der Zertifikatsausgabestelle Verisign bestellt und erhalten. Nun hat der Softwarekonzern einen Patch veröffentlicht, der die Zertifikate sperrt.

Der Inhaber der falschen Verisign-Zertifikate könnte schädliche Active X Controls, Office-Makros oder anderen ausführbaren Code als vermeintliche Microsoft-Produkte an ahnungslose Nutzer versenden oder auf einer Website zum Download anbieten. Laut Verisign ist der Vorfall auf menschliches Versagen zurückzuführen. Normalerweise müsse sich ein Antragsteller eines Class-3-Zertifikats einer umfangreichen Überprüfung unterziehen, doch die im Hause Verisign üblichen Prozeduren wurden wohl umgangen.

Antragsteller unbekannt

Solche digitalen Stempel werden unter anderem von Entwicklern und Softwarehäusern genutzt. Sie sollen dem Empfänger die Herkunft eines Programms bestätigen. Noch immer ist nicht bekannt, wer die beiden Verisign-Codes beantragt und bekommen hat. Das Unternehmen hat das FBI eingeschaltet und gelobte kleinlaut Besserung.

Verisign leistete sich gleich noch eine weitere Panne: Zwar hat das Unternehmen die beiden falschen Zertifikate gleich nach Bekanntwerden des Betrugs auf eine Sperrliste (Certificate Revocation List, kurz CRL) gesetzt, doch Web-Browser-Anwender können diese Liste nicht automatisch laden. Der Grund: Der Zertifikataussteller hat keine Schnittstelle definiert, die es Web-Browsern erlaubt, die Sperrliste automatisch zu beziehen. Microsoft musste deshalb eine eigene CRL schreiben, die die beiden falschen Zertifikate enthält, und zwar für alle 32-Bit-Betriebssysteme des Unternehmens, die 1995 verkauft wurden. Ein Patch steht nun zur Verfügung, und zwar unter http://www.microsoft.com/technet/security/bulletin/ms01-017.asp. Zudem sollten Microsoft-Kunden auf Zertifikate achten, die am 29. und 30. Januar erstellt wurden. Es könne sich dabei nur um die falschen elektronischen Stempel handeln, da an diesen Tagen keine richtigen Zertifikate für Microsoft-Produkte ausgegeben worden sind.

Allerdings stuft Lutz Donnerhacke, Kryptoexperte beim Internet-Service-Provider IKS aus Jena, das Risiko durch die falsch ausgestellten Zertifikate als gering ein: "PC-Benutzer laden sich sowieso alle möglichen Dateien herunter, ob mit oder ohne Zertifikat." Kaum jemand prüfe einen solchen digitalen Stempel. Zudem besage das Verisign-Zertifikat lediglich, dass die damit versehenen Daten von der im Zertifikat genannten Firma stammen, und mache keine Aussagen über die Qualität der Software. Dem pflichten andere Sicherheitsexperten bei.