Microsoft hat bestätigt, dass alle Windows-PCs von einem als FREAK bekannten HTTPS-Exploit bedroht sind, der bereits eine Reihe von Android- und Apple-Geräten betroffen hat.

Der Fehler wurde ursprünglich am Montag veröffentlicht und es wurde vermutet, dass PCs, auf denen Windows ausgeführt wird, von dem seit über 10 Jahren bestehenden Exploit nicht betroffen waren und Angreifern ermöglichen, den über eine HTTPS-Verbindung gesendeten Datenverkehr zwischen Endbenutzern und Websites leicht zu entschlüsseln.

Angriffe können durchgeführt werden, wenn ein Endbenutzer eines anfälligen Geräts eine Verbindung zu einer HTTPS-geschützten Site herstellt, die ebenfalls anfällig ist, und die Websites, die gefährdet sind, sind diejenigen, die die schwache Chiffre verwenden, von der angenommen wurde, dass sie lange zurückgezogen wurde.

FREAK steht für Factoring-Angriffe auf RSA-EXPORT-Schlüssel und ermöglicht es den Benutzern, den Datenverkehr zu überwachen, um bösartige Pakete in den Datenfluss einzuführen, die den Endbenutzer und die Site dazu zwingen, während einer verschlüsselten Websitzung einen schwächeren 512-Bit-Verschlüsselungsschlüssel zu verwenden.

Angreifer können über diesen Austausch übertragene Informationen sammeln, indem sie die Cloud verwenden, um den zugrunde liegenden privaten Schlüssel der Website zu beeinflussen. Dieser Vorgang kostet nur 100 US-Dollar (ungefähr 66 US-Dollar oder 130 US-Dollar) und dauert etwa sieben Stunden. Sobald dies geschehen ist, kann der Angreifer als offizielle HTTPS-geschützte Site fungieren, um möglicherweise Daten zu lesen oder zu ändern, die zwischen der Site und den Endbenutzern übertragen werden.

Kein Windows-Patch

Das Ausmaß des Problems wurde durch einen Bericht von Sicherheitsforschern auf FREAKattack.com freigelegt, in dem 36% der 14 Millionen HTTPS-geschützten Standorte gefunden wurden, die die schwache Chiffre verwendeten.

Apple und Google haben bereits Updates veröffentlicht, mit denen das Problem umgangen wird. Obwohl Microsoft noch keinen Patch entwickelt hat, um das Problem zu umgehen, das alle Windows-Versionen der Kunden betrifft, wird Benutzern empfohlen, eine hier beschriebene Problemumgehung anzuwenden.

Via: Ars Technica

  • Warum müssen Sie Daten in der Cloud verschlüsseln?