Sicherheitslücke in Windows 10 NSA warnte Microsoft

Eine schwerwiegende Sicherheitslücke hat die National Security Agency in Windows 10 entdeckt - und anders reagiert als bislang üblich.
Foto: Drew Angerer/ AFP

Einem Bericht der „Washington Post “ zufolge hat die amerikanische National Security Agency (NSA) einen schwerwiegenden Fehler in Windows 10 entdeckt und diesen an Microsoft gemeldet. Was wie ein vollkommen normaler Vorgang anmutet, wird von der Zeitung - durchaus berechtigt - als unerwartete Wendung eingestuft: Bisher habe der Geheimdienst derartige Entdeckungen eher ausgenutzt, um eigene Spionage-Werkzeuge zu entwickeln, die derartige noch unbekannte Sicherheitslücken ausnutzen. Das hätten mit den Vorgängen vertraute Personen auch bestätigt.

Nun aber wird Microsoft dem Bericht zufolge noch am Dienstag ein Softwareupdate veröffentlichen, das den Fehler im aktuellen Windows-Betriebssystem behebt. Der Termin dürfte mit Bedacht gewählt worden sein, denn er fällt mit dem sogenannten Patch Tuesday zusammen. Der Begriff bezeichnet den jeweils zweiten Dienstag im Monat, an dem der Konzern traditionell aktuelle Sicherheitsupdates veröffentlicht.

Dass an diesem Dienstag, dem ersten Patch Tuesday im Jahr 2020, ein besonders wichtiges Update veröffentlicht werde, hatte bereits am Montag der renommierte IT-Sicherheitsexperte Brian Krebs  geschrieben. Seinen Quellen zufolge sei das Update bereits an Teile des US-Militärs und Betreiber kritischer Infrastrukturen geliefert worden. Diese hätten allerdings vertraglich Stillschweigen zusichern müssen.

Krebs zufolge steckt die Sicherheitslücke in einer Windows-Komponente, die Zertifikate und Kryptografiefunktionen steuert. Ein Fehler in diesem System könnte beispielsweise die Authentifizierung von Nutzern, sowohl auf Desktop-Rechnern als auch auf Servern, kompromittieren oder den Schutz sensibler Daten aushebeln.

Erinnerung an EternalBlue

In einer Telefonkonferenz mit Pressevertretern habe Anne Neuberger, Director of Cybersecurity bei der NSA, bestätigt, dass man eine Sicherheitslücke an Microsoft gemeldet habe. Dies sei das erste Mal, dass Microsoft in einem solchen Fall die NSA als Tippgeber nennen werde. Microsoft werde sein Update mit dem Hinweis kennzeichnen, dass kein Fall bekannt ist, in dem der Softwarefehler ausgenutzt wurde. Von der Lücke betroffen sind Windows 10 und Windows Server 2016.

Angesichts der ungewohnten Bereitschaft der NSA, ihr Wissen zu teilen, erinnert die „Washington Post“ daran, dass der Geheimdienst eine ähnliche Sicherheitslücke noch vor wenigen Jahren geheimhielt, um sie gegen Gegner einsetzen zu können. Speziell dafür hatte die NSA eine Software namens EternalBlue entwickelt und mehrere Jahre lang eingesetzt. Erst als klar wurde, dass diese Software in fremde Hände gelangt war, informierte die NSA Microsoft. Ein entsprechender Patch wurde 2017 veröffentlicht.

Die Wiedergabe wurde unterbrochen.