Freak Sicherheitslücke überprüfen und Einstellungen, die Microsoft empfiehlt [Update 2]

kategorie-windowsMicrosoft hat nun zum Patchday März 2015 ein Update bereitgestellt, welches man über Windows Update installieren kann. Siehe auch HIER.

Windows ist entgegen erster Meldungen doch anfällig gegen die „Freak“-Lücke. Betroffen sind neben den Server-Versionen auch Windows Vista, Windows 7, Windows 8 und 8.1 und auch Windows RT (8.1).
Wer einmal testen möchte, ob sein Windows auch anfällig gegen diese Sicherheitslücke ist, der kann im Internet Explorer diese Seite aufrufen: freakattack.com/clienttest.
Dort sind auch noch drei weitere Links zur Überprüfung enthalten. Microsoft selber hat auch einen Workaround unter dem Security Advisory 3046015 bereitgestellt, mit der man die Umgehung der Sicherheits-Funktion im Schannel verhindern kann.

sicherheitsluecke-freak-workaroundDazu muss man:
▪ Win + R drücken gpedit.msc eingeben und starten
▪ Computerkonfiguration/ Administrative Vorlagen / Netzwerk / SSL-Konfigurationseinstellungen
▪ Rechts nun Reihenfolge der SSL-Verschlüsselungssammlungen doppelt anklicken
▪ Ganz nach unten scrollen und die Liste abarbeiten und den Text von hier kopieren: technet.microsoft.com (unter Apply Workarounds).

▪ Nun den Rechner neu starten.

Das Problem dabei ist, dass es den Gruppenrichtlinieneditor nur in Windows Ultimate oder Professional (Pro) gibt. Wer Windows Home oder Core hat, kann hier noch nichts weiter unternehmen. Kann man nur hoffen, dass Microsoft es mit dem März-Patchday dann für alle patcht.

[Update]

Wer eine Home, Core oder Windows mit Bing Version besitzt kann sich diesen Registryschlüssel entpacken.Danach die freak.reg mit einem Doppelklick in die Registry hinzufügen. Aber auch die anderen können sich dadurch die Arbeit ersparen in den Gruppenrichtlinien.

Download: freak.zip
(447 bytes)
Danke an Al McCann

[Update2]
Nach dem einspielen der Regdatei, oder der Änderung über gpedit.msc sollte man den Test durchführen, ob Windows Update noch funktioniert. via heise
Wenn Nein, dann bis Dienstag zum Patchday aktiv lassen. Danach im Gruppenrichtlinieneditor auf deaktiviert setzen und die Home Benutzer in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\0010002 rechts den Eintrag per Rechtsklick löschen.

Du hast Lust, bei uns als Blogger mitzumachen? Dann melde dich über die Tipp-Box bei uns.
Jürgen
Freak Sicherheitslücke überprüfen und Einstellungen, die Microsoft empfiehlt [Update 2]

24 Kommentare zu “Freak Sicherheitslücke überprüfen und Einstellungen, die Microsoft empfiehlt [Update 2]

  • Herr Hugoschreibt:

    „Das Problem dabei ist, dass es den Gruppenrichtlinieneditor nur in Windows Professional (Pro) gibt“

    „Ab Pro“ – in 7 Ultimate ist der natürlich auch drin. Ich sag´s ja immer: Core oder Home „ist nix genaues“, man soll nicht zu sehr knausern.

    0
  • Marcschreibt:

    Hatte schon immer die höchste version gekauft immer die pro und bei win 6-7 Ultimate.

    0
  • moinmoinschreibt:

    Ihr habt recht. Hab die Ultimate mit dazu eingetragen,damit es keine Verwirrung gibt. :)

    0
  • GwenDragonschreibt:

    FREAK, das bei Linux schon seit der ersten Januarwoche 2015 nicht mehr existiert, muss MS ja nicht fixen.

    Klar doch Windows ist ja das sicherste Betriebssystem, mit den schnellsten Reaktionen auf Lücken. OK, hat ja auch Vorteile den Diensten mit mieser Verschlüsselung noch Monate behilflich zu sein.

    0
  • the5cr1bbl3rschreibt:

    @ Marc

    so so immer die Pro Version gekauft ^^…. Windwos 3 Pro ? , 95 Pro ?, 98 Pro ? Windows NT4 Pro ? Millennium Pro, 2000 , … die erste Pro gab es bei Windows 2000. Da gab es aber auch keine “ Standard “ Version.
    Eine Standard, Professional und höher gab es erste ab Vista ;-)
    Irgendwie kommen hier immer “ ich muss da auch mal was sagen “ Posts auf ;-)

    @ Herr Hugo

    da muss auch einer mal wieder auf hohen Niveau meckern^^… die ursprüngliche Aussage von moinmoin war selbsterklärend denn alle Features in der PRO Version sind in höheren Versionen NATÜRLICH enthalten
    Zudem ist der Satz “ Ich sag´s ja immer: Core oder Home “ist nix genaues”, man soll nicht zu sehr knausern. “
    mit Verlaub gesagt, ( sei nicht böse und ist nicht persönlich gemeint) Blödsinn.

    Das der Zugang zu Policies in einer normalen Version nicht komplett gegeben ist, hängt ganz und einfach damit zusammen, das diese Versionen nicht für weitreichende Netzwerkstrukturen konzipiert wurden. Dafür gibt es die Pro Versionen da diese mit Domänenstrukturen umgehen können.
    Für das Heimnetzwerk reicht die HOME locker aus.
    Des Weiteren kauft sich nicht jeder im Laden für 4-500 Tacken eine Ultimate Version !
    Man kann also bei WEITEM nicht behaupten die Home ist nichts Halbes und nichts Ganzes.
    Glaub mir.. ..90% der sogenannten “ Ich habe Ultimate am Start “ User im privaten Bereich, haben diese aus dubiosen Quellen und nutzen den Inhalt unter der Haupe zu 99% NICHT aus.
    Aber erst mal “ haben “ ne ? ;-)

    0
  • Herr Hugoschreibt:

    „Des Weiteren kauft sich nicht jeder im Laden für 4-500 Tacken eine Ultimate Version !“

    Das ist Tinnef, mein lieber the5cr1bbl3r – mit Verlaub. Ich habe 2009 + 2010 300,- bezahlt – und zwar für 2 (zwei) Ultimate-Lizenzen. Jeweils 32/64 als Systembulider bei Amazon – vollkommen legal und keine „dubiose Quelle“.

    Die Preise waren 2009/10 150,- bei Amazon und ~ 320,- bei MS – nicht 400/500,- Und niemand wurde gezwungen, die in der bunten Schachtel zu kaufen.

    Wenn ich da mal die 160,- für 2x Home gegenrechne, dann bleibt pro 7 Utimate eine Differenz von genau 70,- Euro – verteilt über Jahre. Und das ist mir es eben wert – schon im beim Booten nicht von HP „begrüßt“ zu werden.

    Ob das persönlich gemeint ist? Natürlich, ich meine immer alles persönlich! :-P

    0
  • the5cr1bbl3rschreibt:

    “ schon im beim Booten nicht von HP “begrüßt” zu werden. “

    tjooo das kommt wenn man OEM Lizenzen erwirbt die der Händler eh in Massen an den Mann bringt und dann denkt „yeah original Schnäppchen gemacht “ . Nicht umsonst heulen die meißten Käufer bei Amazon und Co herum, dass Sie ihre neuen Microsoft Versionen immer noch telefonisch autorisieren müssen ^^
    Wer wirklich original kauft zahlt mehr dafür ..und JAAA !! Die Version lag definitiv ÜBER ! 300 Tacken .

    …oh mann ich muss ins Bett..gn8 zusammen ;-)

    0
  • moinmoinschreibt:

    Für diejenigen die „nur“ eine Home, Core, Windows mit Bing haben, ist oben nun eine Regdatei dabei, die man per Doppelklick in die Registry einfügen kann.

    0
  • GwenDragonschreibt:

    @moinmoin
    Die Registrydatei ist nützlich und der Patch schneller aktiviert als das dämliche Gemurkse mit dem GPE und dessen Mini-Eingabefeld.
    Danke!

    0
  • Herr Hugoschreibt:

    „heulen die meißten Käufer bei Amazon und Co herum, dass Sie ihre neuen Microsoft Versionen immer noch telefonisch autorisieren müssen“

    Ja und? Das mache ich sowieso – aber bei 7 jeweils nur 1x. Iwann in der Nacht tippe ich nach dem Install gemütlich die Zahlen ein, die mir eine Roboterstimme sagt und ziehe dabei an meiner Zigarette – „feddich“. Zusätzlich anrufen (bei einem Menschen, um dem „was zu erzählen“) mußte ich danach noch nie.

    Danach speichere ich die Aktivierung mit dem „Advancsd Token Manager“ ab. Wenn ich mal neu installiere, brauche ich das nur zurückzuspieken – das ist pupseinfach. Und dann ist 7 wieder aktiviert. Das meine ich nicht nur, das weiß ich, weil ich es einige Male so gemacht habe.

    „…wenn man OEM Lizenzen erwirbt die der Händler eh in Massen an den Mann bringt und dann denkt…“

    Ich sage dir: wenn jemand sein HP perönlich beim Gates abgeholt hätte – auch dann wird nach dem Booten immer „Home Premium“ angezeigt.
    ——–

    Eine herrliche Möglichkeit wäre natürlich, wenn man iwo eine Lizenz kaufen könnte, wo:

    „the5cr1bbl3r“

    beim Booten angezeigt würde. Das würde mich so richtig aufbauen! :-P

    0
  • GwenDragonschreibt:

    Wieso eine Lizenz teuer sein soll, halte ich für ein Gerücht. Wer irgendwann mal mit Windows professionell angefangen hat, wird später Update-Lizenzen haben, die eben nicht 500 kosten.

    Und Hobbyisten kommen sowieso immer an irgend ne Lizenz mehr (über Kauf im bay) oder weniger (illegale crks) günstig im Web.

    Wer es (warum auch) kostengünstig und umsonst braucht, sollte auf Linux umsteigen.

    0
  • throkrschreibt:

    Habe den Workaround heute morgen manuell (da gab’s die Regdatei noch nicht) mal ausprobiert (Win 8.1.1 Pro x64):

    – der IE wurde danach als „safe“ (Blau) angegeben anstatt „vulnerable“ (Rot) zuvor. Na ja, mit dem surfe ich sowieso nie …

    – ABER das hat bei mir sämtliches blockiert : Wetter Kachel nicht mehr live und wenn ich drauf geklickt habe, kam die gute Nachricht:“Sie sind nicht mit dem Internet verbunden, checken Sie ihren Anschluss“ ;-) und der PSI Secunia konnte nicht mehr die Server erreichen (blieb immer Rot – die Verbindung laüft nur über IE).

    Hab dass jetzt rückgängig gemacht; am Dienstag kommt (?) doch der MS Patch … ;-)

    Wo ich gerade hier bin, etwas seltsames:schon heute morgen wurde bereits die KB890830 angeboten und dann noch als optional (dass kommt normalerweise am PatchDay und, denke ich, unter den wichtigen Updates – http://support.microsoft.com/kb/890830/de).

    Da ich die Updates sowieso immer manuell installiere, werden ich da auch ruhig bis Dienstag abwarten ….. :-)

    0
  • moinmoinschreibt:

    Ach, dass ist ja nur das „böswillige“ Update, wie ich es immer nenne.
    Aber das bei dir da alles blockiert wird? :?

    0
  • moinmoinschreibt:

    Heise bestätigt gerade, dass nach dem einspielen Windows Update nicht funktionieren kann. Also testet es einmal. Ansonsten müsst ihr es Dienstag zum Patchday rückgängig machen um an die neuen Updates zu kommen.

    0
  • throkrschreibt:

    Ich habe die WU nicht mit installierten Workaround gecheckt; hatte aber aus der „Technet“ Seite verstanden dass das nur vorlaüfig sein sollte bis zum offizielen Patch (darum das „How to undo the workaround“ ganz unten), oder ???

    0
  • moinmoinschreibt:

    Stimmt, throkr.

    0
  • GwenDragonschreibt:

    Onlinebanking is lahm wie sonstwas. Secunia PSI lädt nix mehr runter. Windowsupdate hängt minutenlang und verweigert.
    Patch wieder rückgängig gemacht.

    Auf einem Heim-PC merkt man ja was Sache ist, aber wehe der Patch ist auf Firmen-Büro-Rechnern oder gar Systemen die im Hintergrund laufen.

    ich frag‘ mich gerade was bei den ganzen Embedded Windows-Systemen ist, in Autos, in Telefonen, in Home-Automation etc. Die bleiben wohl unsicher.

    0
  • Framerschreibt:

    Zur Vervollständigung, der IE im WP ist auch betroffen

    geschrieben mit der Deskmodder.de App

    0
  • Herr Hugoschreibt:

    Ich habe „gaanix“ gemacht und ich werde bis Dienstag auch nix machen – bei mir läuft alles so normal wie vorher.

    Ich mache kein Online-Banking, ich bin kein Büro – und embedded bin ich auch nicht.

    Ich warte einfach ab. :-P

    0
  • throkrschreibt:

    „… heute morgen wurde bereits die KB890830 angeboten und dann noch als optional…“
    Hat MS mittlerweile zurückgezogen; kommt bestimmt heute Abend mit dem Rest.

    0
  • GwenDragonschreibt:

    9 Wochen nachdem die Lücke bekannt wurde, erst Fixes für Windows 7, 8 und 10. Erheblich zu lange!

    0
  • Check if Windows is affected by the Freak Attack vulnerability | Xuciferschreibt:

    […] To mitigate the issue on Windows, use a browser that is not Internet Explorer for the meantime or apply the workaround mentioned above if possible. (via Deskmodder) […]

    0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *