Microsoft hat am 14. Januar 2020 eine schwerwiegende Sicherheitslücke in Windows 10 geschlossen, welche die CryptoAPI betraf. Die Installation des Patches bereitete jedoch einigen Nutzern Probleme, weshalb die Lücke für einige Geräte durchaus noch gefährlich sein könnte.
Zwei Entwickler haben nun vorgezeigt, wie die Sicherheitslücke ausgenutzt werden könnte. In ihren Proof-of-Concepts wird demonstriert, wie Angreifer die Lücke ausnutzen könnten, um Webseiten und Anwendungen zu signieren und damit die Sicherheitsmechanismen des Browsers sowie des Betriebssystems zu umgehen. Anwender könnten auf diese Weise eine Webseite besuchen, wo der Browser das Zertifikat einer Seite für gültig erklärt, obwohl es sich gar nicht um die besuchte Seite handelt.
Dass die Lücke tatsächlich ausgenutzt wird, ist allerdings für die meisten Nutzer unwahrscheinlich. Während diese zweifellos sehr schwerwiegend ist und Nutzer angewiesen sind, den Patch vom 14. Januar dringend zu installieren, ist diese Art des Angriffs tatsächlich nur praktikabel für gezielte Angriffe auf einzelne Personen. Umso überraschender ist es eigentlich, dass die NSA die Lücke bekannt gemacht und Microsoft vorher informiert hat. Der Geheimdienst setzt allerdings selbst auf Windows 10 und ist somit selbst nicht selten das Ziel gefährlicher, gezielter Angriffe.