Superfish: Microsofts Windows Defender löscht Adware [UPDATE]

Die aktualisierte Defender-Version löscht die Adware und das dazugehörige Stammzertifikat. Aufgrund der integrierten Zertifikatsverwaltung des Mozilla-Browsers müssen Firefox-Nutzer das Zertifikat manuell löschen oder auf das veröffentlichte Uninstaller-Programm zurückgreifen.

Die auf Lenovo-Notebooks installierte Adware Superfish und das dazugehörige Stammzertifikat werden jetzt mittels der aktualisierten Fasssung des in Windows integrierten Anti-Malware-Tools Defender gelöscht. Firefox-Anwender müssen allerdings das Zertifikat aufgrund der im Mozilla-Browser integrierten Zertifikatsverwaltung manuell löschen oder zum inwischen von Lenovo veröffentlichten Uninstall-Tool greifen. Der Hersteller hat außerdem eine manuelle Deinstallationsanleitung veröffentlicht.

Adware (Bild: Shutterstock)

Adware (Bild: Shutterstock)

Lenovo hat sich inzwischen für die Installation des Adware-Tools entschuldigt, bestreitet aber, von der durch Superfish und dem dazugeörigen Stammzertifikat verursachten Sicherheitsbedrohung gewusst zu haben. Inzwischen ist ihm aber offenbar die Problematik bewusst und warnt nun selbst vor dem Programm.

Eine Warnung zu Superfish hat inzwischen auch das US-Cert herausgegeben. Zuvor hatte Lenovos Chief Technology Officer Peter Hortensius im Gespräch mit dem Wall Street Journal zwar eingerämt, dass Lenovo die auf seinen Notebooks zwischen September und Dezember 2014 vorinstallierte Adware nicht sorgfältig genug geprüft hatte. Von einem Sicherheitsprblem wollte er aber nichts wissen. “Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen.” Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: “Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.”

In der offiziellen Stellungnahme sind diese und ähnliche Sätze sind inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.

Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko. Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. “Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte”, schreibt er in einem Blogeintrag. Dem stimmt Sicherheitsexperte Graham Cluley zu. “Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können. Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.” Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.

“Damit ist das System ab Werk kompromittiert und als trojanisiert zu betrachten”, stellt der Berliner Informatiker Kristian Köhntopp auf seiner Google+-Seite fest. Das Problem betrifft sowohl Microsofts Internet Explorer als auch Googles Chrome auf Windows-Systemen. Firefox ist offenbar nicht betroffen, da es einen eigenen Zertifikatsspeicher einsetzt.

Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.

[Update 23.2.15:]

Wie ZDNet-Autor Ed Bott auf Nachfrage von Windows-Spezialist Günther Born bestätigt, löscht Windows Defender das Stammzertifikat von Superfish nur, wenn es zuvor die Software-Komponente gefunden hat. Wurde diese bereits deinstalliert, dann bleibt das Stammzertifikat erhalten. Bott hat dies in einem Test nachgewiesen. Ihm wurde die Superfish-Software von einem Sicherheitsforscher zur Verfügung gestellt.

UPDATE 23.2.

Wie ZDNet-Autor Ed Bott auf Nachfrage von Windows-Spezialist Günther Born bestätigt, löscht Windows Defender das Stammzertifikat von Superfish nur, wenn es zuvor die Software-Komponente gefunden hat. Wurde diese bereits deinstalliert, dann bleibt das Stammzertifikat erhalten. Bott hat dies in einem Test nachgewiesen. Ihm wurde die Superfish-Software von einem Sicherheitsforscher zur Verfügung gestellt.

[Mit Material von Kai Schmerer, ZDNet.de]

Weitere Artikel zum Thema:

Lenovo Superfish finden und löschen

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Superfish: Microsofts Windows Defender löscht Adware [UPDATE]

  • Am 23. Februar 2015 um 10:47 von Günter Born

    Leider ist der Windows Defender aktuell nicht zuverlässig beim Löschen der Zertifikate. Ich bin gestern auf ein Szenario gestoßen, in dem der Windows Defender versagt. Die Details sind folgenden Artikeln zusammen getragen.

    http://borncity.com/win/?p=244 (Englisch)
    http://www.borncity.com/blog/?p=161679 (Deutsch)

    Hier hilft nur, den Zertifikatsspeicher zu kontrollieren und manuell zu bereinigen. Wie es bei anderen Tools ausschaut, weiß ich nicht.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *