Gefahr durch gefälschte MS-Zertifikate

Verisign hat Ende Januar zwei auf "Microsoft Corporation" ausgestellte digitale Class-3-Zertifikate an einen Betrüger ausgegeben, der sich als Microsoft-Angestellter getarnt hatte. Wer den zur Authentifizierung von ausführbaren Programmen beim Download vorgesehenen Zertifikaten vertraut, öffnet Angreifern Tür und Tor.

Die Verisign-Zertifikate lassen sich benutzen, um Programme, ActiveX-Controls, Office-Makros und ähnlichen ausführbaren Code zu unterzeichnen. Vor allem ActiveX und Makros stellen eine besondere Gefahr dar, warnt Microsoft in einem Security Bulletin. Ausführbare Files beider Sorten lassen sich problemlos via Web verbreiten und auf dem Rechner des Opfers per Skript automatisch aufrufen. Ein idealer Weg also, um Schadprogramme jeglicher Art wie Viren oder Trojaner auf den Rechner des arglosen Benutzers zu bringen.

Zwar werden die beiden falschen Bescheinigungen vom Rechner selbst dann nicht automatisch akzeptiert, wenn der Benutzer Zertifikaten von Microsoft bereits ein generelles OK gegeben hat. Die digitalen Signaturen geben jedoch im aufpoppenden Warnungsfenster an, für "Microsoft Corporation" ausgestellt worden zu sein. Das könnte viele User in Versuchung bringen, den Zertifikaten ohne genauere Nachprüfung zu vertrauen.

Microsoft empfiehlt daher, auf den Namen des Unternehmens lautende digitale Zertifikate erst nach gründlicher Prüfung der Rahmendaten anzunehmen. Vor allem sollten Benutzer die Annahme von Zertifikaten verweigern, die das Datum des 29. oder 30. Januar tragen. An diesen Tagen wurden die falschen Digital-IDs ausgegeben. Dagegen wurden an keinem der beiden Tage Zertifikate für Microsoft selbst ausgestellt.

Zudem sollten alle Benutzer, die das Outlook E-Mail Security Update oder das Office Document Open Confirmation Tool noch nicht installiert haben, dies unbedingt nachholen. Microsoft empfiehlt daneben dringend, im Internet Explorer den Eintrag "Verisign Commercial Software Publishers CA" aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen zu entfernen. Sie finden diese Liste unter Extras / Internetoptionen / Inhalt / Zertifikate.

Im Moment können nur solche manuellen Workarounds vor den falschen Microsoft-Zertifikaten schützen. Zwar hat Verisign die beiden Zertifikate widerrufen und in die Certification Revocation List (CRL) eingetragen. Da aber Verisigns Code-Zertifikate keinen CRL Distribution Point vorsehen, können Browser keinen automatischen Abgleich mit dieser Sperrliste vornehmen. Microsoft arbeitet an einem Update, das dem Internet Explorer zumindest die Konsultation einer auf dem lokalen Rechner gespeicherten Sperrliste erlauben soll. (jlu)