{"id":2053,"date":"2015-03-11T15:21:48","date_gmt":"2015-03-11T14:21:48","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2053"},"modified":"2025-11-27T10:28:28","modified_gmt":"2025-11-27T09:28:28","slug":"freak-sicherheitsluecke-zielt-auch-auf-windows-user-ab","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/freak-sicherheitsluecke-zielt-auch-auf-windows-user-ab\/","title":{"rendered":"Freak: Sicherheitsl\u00fccke zielt auch auf Windows-User ab"},"content":{"rendered":"

Freak<\/a><\/strong>: Das steht f\u00fcr Factoring attack on RSA-Export Keys<\/strong>. Die gef\u00e4hrliche Schwachstelle<\/strong> erlaubt es Angreifern, vermeintlich sichere Internetverbindungen abzuh\u00f6ren<\/strong> und schlimmstenfalls auch, sensible Daten wie Passw\u00f6rter zu erbeuten<\/strong>. Freak betrifft alle Anwender, auch dann, wenn Sie keinen anf\u00e4lligen Browser verwenden.<\/p>\n

<\/p>\n

Freak hat seine Urspr\u00fcnge in den 80er Jahren<\/h2>\n

Bei Freak handelt es sich um eine kuriose Schwachstelle<\/strong>: Sie geht auf eine politische Entscheidung in den 80er und 90er Jahren<\/strong> zur\u00fcck. Seinerzeit war es US-Unternehmen untersagt<\/a>, Verschl\u00fcsselungstechniken ins Ausland zu ver\u00e4u\u00dfern, und so schw\u00e4chte man die Export-Version der RSA-Verschl\u00fcsselung ab<\/strong>: Man entschied sich, die Schl\u00fcssel auf unsichere 512 Bit zu k\u00fcrzen<\/strong>, sodass es ein vertretbarer Aufwand erlaubte, die schwache Verschl\u00fcsselung zu knacken<\/strong>. Genau das war auch das Ziel dieser gesetzlichen Beschr\u00e4nkungen: Eine per Gesetz angeordnete Hintert\u00fcr.<\/p>\n

M\u00f6glichkeiten von Freak<\/h3>\n

Das Gesetz verschwand gegen Ende der 90er Jahre, die unsichere Verschl\u00fcsselung jedoch blieb stellenweise<\/strong>. Nach wie vor unterst\u00fctzt aktuelle Anwender- und Serversoftware die unzureichende Verschl\u00fcsselung einer damaligen Export-Version, und genau das ist das Problem, denn diese Umst\u00e4nde k\u00f6nnen sich Angreifer zunutze machen.<\/p>\n

Betroffen waren zun\u00e4chst mehrere Millionen Webseiten<\/strong>, darunter auch die des FBI und der NSA<\/strong>. Wird eine solche betroffene Website angesteuert, lassen sich Man-in-the-Middle-Attacken<\/a> durchf\u00fchren. Entsprechend pr\u00e4parierte Datenpakete sollen betroffene Browser dazu bewegen, auf die veraltete Verschl\u00fcsselung zur\u00fcckzugreifen<\/strong>. Ein Computer mit aktueller Ausr\u00fcstung knackt solch schwache Verschl\u00fcsselungsparameter binnen weniger Stunden.<\/p>\n

Wer ist von Freak betroffen?<\/h3>\n

Zun\u00e4chst wurde angenommen, Freak habe lediglich Auswirkungen auf Apples Safari-Browser und Googles Standard-Browser f\u00fcr Android-Ger\u00e4te<\/strong>. Jedoch erkl\u00e4rte Microsoft auf seiner Website<\/a>, dass s\u00e4mtliche Windows-Versionen eine Schwachstelle besitzen, die das Ausnutzen von Freak wesentlich erleichtert<\/strong>. Damit ist auch Microsofts Internet Explorer<\/strong> betroffen. Microsoft k\u00fcndigte eine L\u00f6sung an, allerdings f\u00fchrte das Hotfix zum Lahmlegen von Windows Update<\/a>, au\u00dferdem sind einige via HTTPS ausgelieferte Websites nicht mehr erreichbar. Microsoft empfiehlt nun, genutzte Algorithmen f\u00fcr SChannel manuell \u00fcber den Gruppenrichtlinien-Editor zu konfigurieren. Endkunden-Versions-Nutzer sind davon\u00a0ausgenommen, da kein Editor f\u00fcr lokale Gruppenrichtlinien existiert. Betroffene sollten das Update r\u00fcckg\u00e4ngig machen, manuell bearbeiten<\/strong> und im Anschluss sollte das Problem behoben sein. Welche Browser betroffen sind, zeigt Heise<\/a>. Ob Ihr Rechner oder Ihr Mobilger\u00e4t betroffen ist, k\u00f6nnen Sie bei Qualys SSL Labs testen<\/a>.<\/p>\n

Sehen Sie dort eine Warnung, gilt es, nicht in Panik zu verfallen. Bisher fehlen Hinweise aufs Verwenden der Angriffstechnik. Beachten Sie, dass sich der Angreifer im gleichen Netzwerk<\/strong>, beispielsweise im selben WLAN, befinden muss, um eine Attacke zu starten. Nichtsdestotrotz sollten Sie die von Google und Apple angek\u00fcndigten Hotfixes in jedem Fall einspielen<\/strong>, denn die Anzahl der Server, die sich zu dieser schwachen Verschl\u00fcsselung hinrei\u00dfen lassen, ist erschreckend hoch<\/strong>. Bislang ist unklar, wie Google mit nicht mehr unterst\u00fctzten Android-Versionen umgehen m\u00f6chte.<\/p>\n

Haben Sie Fragen zum Thema<\/strong>, f\u00fchlen Sie sich frei, diese in den Kommentaren oder direkt an unseren Support<\/a> zu stellen.<\/p>\n

Update: OpenSSL verteilt Aktualisierungen<\/h3>\n

OpenSSL hat Updates ver\u00f6ffentlicht, die auch die FREAK-Sicherheitsl\u00fccke beheben. Alle Informationen dazu finden Sie im Update des Blogbeitrags \u201eNeuer OpenSSL-Bug: Erinnerungen an Heartbleed werden wach<\/a>\u201c.<\/p>\n