Wird Windows im Rahmen einer Verbindungsverschlüsselung mit einem unbekannten Zertifikat konfrontiert, meldet das System das Problem nicht, sondern kontaktiert Microsoft-Server. Von diesen aus kann jederzeit ein neues Stammzertifikat ausgestellt werden. Ein potenzielles Sicherheitsrisiko, wie die c't berichtet.

Potenzielle Hintertür

Auf diesem Wege könnte Microsoft beispielsweise neue Zertifikate ausliefern, die der NSA das Auslesen einer eigentlich verschlüsselten Verbindung (zB. SSL) erlauben. SSL-Verschlüsselung wird in der Regel standardmäßig bei E-Banking eingesetzt. Das Zertifikat soll sicherstellen, dass sich am anderen Ende der hergestellten Verbindung wirklich die eigene Bank befindet.

Über die automatische Abfrage und Installation könnte dem User auch ein als Treiber zertifizierter Trojaner untergejubelt werden.

Dynamisches Update ohne Rückfrage

Die in Windows schon vor längerer Zeit eingeführte Funktion nennt sich "Automatic Root Certificates Update" und ist vom Start weg aktiviert. Wie c't weiter erläutert, lädt Windows via Microsoft-Server eine Datei namens authrootstl.cab runter, sollte das Zertifikat einer Webseite nicht von einer vertrauenswürdigen Zertifizierungsstelle beglaubigt sein.

Die CAB-Datei enthält eine Liste an sogenannten Stammzertifizierungsstellen. Findet sich die eben übermittelte darin, wird das Zertifikat der Website fortan als vertrauenswürdig anerkannt.

Der User wird über diese Schritte allerdings nicht benachrichtigt und kann die hinterlegten Informationen auch nicht ohne Weiteres entfernen. Betroffen ist nicht nur der Internet Explorer, sondern auch andere Browser, die unter Windows ebenfalls auf die CryptoAPI von Microsoft zugreifen. Lediglich Firefox zeigt eine Warnmeldung und verlangt manuelle Bestätigung, da Mozilla eine eigene Zertifizierungsstellen-Datenbank pflegt.

Problembehebung schwierig

Eine Umgehung des Problems ist durch eine Registry-Anpassung bzw. die Änderung einer Gruppenrichtlinie möglich. Dies führt allerdings zu Problemen mit zahlreichen Webseiten unter Internet Explorer und Chrome, da Microsofts Zertifikatsstellen-Datenbank dann nicht mehr verwendet wird und die lokale Liste in Windows laut c't sehr klein ist.

Dementsprechend ist eine Absicherung nur über einen Wechsel des Betriebssystems oder einen Umstieg auf Mozilla Firefox möglich. Microsoft äußert sich aktuell nicht zur Sache. (red, derStandard.at, 29.07.2013)