Ja, ich weiß, die Überschrift ist ein wenig reißerisch, aber manchmal muss man vielleicht auch mal etwas deutlicher werden.
An sich ist Windows XP seit dem Supportende im April 2014 tot. Mancher hat es nur noch nicht so recht wahrhaben wollen und fröhlich weiter mit dem veralteten System gearbeitet. Dass keine Sicherheitsupdates mehr kommen, mag für manche Leute ja auch ganz angenehm sein, fehlen doch die sonst immer notwendigen, monatlichen Update-Neustarts.
Nun hatte es der Microsoft Patch-Day im November 2014 aber ziemlich in sich und bescherte diversen Windows Systemen Updates für eine ziemlich kapitale Lücke. Microsoft hat bei einem internen Audit festgestellt, dass in der SChannel Bibliothek Lücken vorhanden sind, die sich dazu eignen, auf einem System Code aus der Ferne auszuführen (“remote code vulnerability”). Die Lücke hat die Stufe “critical” und es gibt keinen bekannten Workaround.
https://technet.microsoft.com/library/security/ms14-066
Eine Lücke mit solchen Möglichkeiten alleine ist schon unschön genug, nur ist SChannel als “security support provider” die Krypto-Komponente von Microsoft und somit zum Beispiel dafür verantwortlich, wenn sich das System oder auch ein Anwendungsprogramm über eine verschlüsselte Verbindung unterhält. Quasi das, was OpenSSL für diverse Opensource Programme bereitstellt. Das macht die Sache deutlich unschöner, denn konkret kann man nun über gerade diese Komponente nun Systeme aus der Ferne angreifen – und das gerade dann, wenn diese sichere Verbindungen nutzen wollen.
Nun ist SChannel eine Systembibliothek, auf die alles von Microsoft aufsetzt, was verschlüsselte Kommunikation nutzt. Vom Internet Explorer über Windows Update bis hin zur Handhabung bzw. Aktualisierung von Zertfikaten, überall wird SChannel genutzt. Es gibt somit auch keinen Weg, diese Komponenten nicht zu benutzen.
Die Lücke findet sich in allen unterstützten Windows Versionen von Server 2003 bis hin zur Windows 10 Preview. Man darf daher davon ausgehen, dass die Lücke mit an Sicherheit grenzender Wahrscheinlichkeit in XP ebenfalls vorhanden ist. Nur wird sie dort nicht mehr gefixt werden!
Noch gibt es keinen Exploit für die Lücke, d.h. es sind noch keine Angriffswege bekannt. Das wird sich jetzt, nach der Veröffentlichung der Updates und dem Bekanntwerden der Lücke vermutlich relativ schnell ändern.
Es bleibt nur der Weg, die Patches möglichst schnell einzuspielen und nicht mehr mit Patches versorgte Systeme aus dem Netz zu nehmen.
Oder noch mal deutlich gesagt: wer seit dem 11.11.2014 immer noch ein XP System am Internet betreibt, handelt nicht nur grob fahrlässig, sondern dämlich. Es ist vorbei, XP ist mit dieser Lücke nun endgültig tot.
Nehmt die XP Systeme offline! JETZT!
Es ist vor allem verwunderlich, da Windows 8.1 locker auf XP Rechnern läuft.
Was? Aber ganz sicher nicht.
Ich habe noch ein Notebook aus 2001 mit Pentium III als Prozessor, das mit Windows XP sauber läuft aber mit allem danach nicht mehr. Den Rechner werde ich jetzt auch nicht panisch wegwerfen sondern weiterhin anwerfen, wenn mal eine Musik-CD ins Haus flattert, um dann die Kombination aus EAC und LAME zu nutzen daraus brauchbare Audiodateien zu erzeugen (das eingebaute Toshiba-DVD-Laufwerk liest nämlich sehr gut).
Ich kann mir aktuell nicht wirklich vorstellen wo dabei der Angriffsvektor bestehen soll, wenn das Notebook hinter dem Router hängt und die einzige Kommunikation mit dem Internet darin besteht, dass EAC mit der Datenbank für Accurate-Rip kommuniziert.