Microsoft hat vor kurzem ein Update veröffentlicht, um eine prekäre Sicherheitslücke im hauseigenen Betriebssystem Windows 10 sowie den Windows-Servern 2016/2019 zu schließen. Die Lücke wurde zuvor von der US-amerikanischen National Security Agency (NSA) sowie dem deutschen Bundesamt für Informationstechnik (BSI) als besonders kritisch eingestuft.
Die Schwachstelle ist in der sogenannten CryptoAPI zu finden, welche als Bestandteil von Windows-Diensten der Steuerung von kryptographischen Funktionen bzw. Verschlüsselungen dient. Mithilfe des Fehlers wäre es Angreifern möglich, den betroffenen Windows-Diensten gültige Sicherheitszertifikate zu simulieren, womit allerlei Schadsoftware an den Sicherheitsmechanismen vorbei geschmuggelt werden könnte. Es drohen gravierende Eingriffe in das System und die Daten der Nutzer.
Glücklicherweise meldete ausgerechnet die NSA den Fehler rechtzeitig Microsoft und der Öffentlichkeit, sodass ein entsprechendes Update bereits zur Verfügung steht. Wir schließen uns der IT-Sicherheitsgemeinschaft ohne Frage an und betonen die Dringlichkeit des Updates! Aktuell gebe es laut BSI zwar noch keine Berichte über eine aktive Verwendung der Sicherheitslücke, es liegt allerdings nahe, dass Hacker versuchen werden, die Trägheit mancher Nutzer, die nicht zeitnah die Updates installieren, auszunutzen.
Nutzte die NSA derartige Sicherheitslücken in der Vergangenheit selbst für ihre Zwecke aus, versichert die Leiterin der Abteilung für Cybersicherheit, Anne Neuberger, heute, dass man das Vertrauen der IT-Sicherheitsszene zurückgewinnen wolle und solche Informationen in Zukunft schneller und häufiger auch öffentlich teilen werde.