Microsoft konnte die von Google Project Zero gemeldete Sicherheitslücke nicht innerhalb von 90 Tagen schließen. Die Schwachstelle findet sich in der Verschlüsselungsbibliothek SymCrypt. Durch sie lässt sich „rasch eine Windows-Flotte außer Betrieb setzen“.
Tavis Ormandy von Google Project Zero hat eine Sicherheitslücke in der Windows-Verschlüsselungsbibliothek SymCrypt öffentlich gemacht, nachdem Microsoftdiese nicht wie zugesagt innerhalb von drei Monaten beheben konnte. Der Sicherheitsforscher hatte sie schon im März vertraulich an Microsoft gemeldet, das die Gefährdung bis spätestens 11. Juni 2019 beseitigen wollte.
Kurz vor dem Termin für seinen Juni-Patchdaygab Microsoft jedoch zu verstehen, dass es Googles übliche Frist für die Fehlerbehebung innerhalb von 90 Tagen nicht einhalten konnte. Als Grund nannte der Softwarekonzern „Probleme, die beim Testen auftraten“. Das Sicherheitsloch soll nun erst am Patch-Dienstag im Juli geschlossen werden.
SymCrypt dient als Microsofts primäre Verschlüsselungsbibliothek für symmetrische Algorithmen seit Windows 8. Seit Windows 10 1703 wurde es auch primäre Verschlüsselungsbibliothek für asymmetrische Algorithmen. Microsoft stellte die seit 2006 entwickelte Standardbibliothek in diesem Jahr unter die MIT-Lizenz und machte sie als quelloffenen Code zugänglich, behielt sich jedoch weiterhin eine nur interne Entwicklung vor.
Ormandy entdeckte den Bug in arithmetischen Routinen der Standardbibliothek für Verschlüsselungsfunktionen. Ihm zufolge kann das zu Berechnungen führen, die in einer unendlichen Schleife ablaufen. „Ich habe ein X.509-Zertifikat erstellen können, das den Fehler auslöst“, schreibt er. Er habe sodann entdeckt, dass das Einbetten des Zertifikats etwa in einer S/MIME-Nachricht, einer Authenticode-Signatur oder einer SChannel-Verbindung effektiv jeden Windows-Server zu einem Denial of Service (DoS) bringe – also den Dienst zu verweigern. Das gelte beispielsweise für IPsec, Internet Information Server (IIS) und Exchange. Kontextabhängig könnte ein Neustart des Rechners erforderlich sein. Da viel Software wie etwa Antiviruslösungen diese Routinen bei nicht vertrauenswürdigen Inhalten aufrufen müssten, bringe sie das zum Stillstand.
„Ich melde das als geringes Risiko, obwohl sich damit ziemlich rasch eine Windows-Flotte außer Betrieb setzen lässt“, merkt Googles Sicherheitsforscher ironisch an. Tavis Ormandy hat sich einen Namen gemacht, indem er schon häufiger kritische Sicherheitslücken in verbreiteter Software aufdeckte. So meldete er unter anderem Sicherheitslöcher im Passwortmanager LastPass sowie in Produkten von Symantec, Kaspersky und AVG. Zusammen mit seiner Kollegin Natalie Silvanovich entdeckte er eine kritische Schwachstelle in Microsofts Malware Protection Engine, die in zahlreichen Sicherheitsprodukten enthalten ist.