Windows Defender löscht Superfish [UPDATE]

Die aktualisierte Fasssung des in Windows integrierten Anti-Malware-Tools Defender löscht die auf Lenovo -Notebooks installierte Adware Superfish und das dazugehörige Stammzertifikat. Firefox-Anwender müssen allerdings das Zertifikat aufgrund der im Mozilla -Browser integrierten Zertifikatsverwaltung manuell löschen oder zum inwischen von Lenovo veröffentlichten Uninstall-Tool greifen. Der Hersteller hat außerdem eine manuelle Deinstallationsanleitung veröffentlicht.

Lenovo hat sich inzwischen für die Installation des Adware-Tools entschuldigt. Allerdings bestreitet das Unternehmen, von der durch Superfish und dem dazugeörigen Stammzertifikat verursachten Sicherheitsbedrohung gewusst zu haben. Inzwischen ist ihm aber offenbar die Problematik bewusst und warnt nun selbst vor dem Programm . Auch das US-Cert hat inzwischen eine Warnung zu Superfish herausgegeben . Zuvor hatte Lenovos Chief Technology Officer Peter Hortensius im Gespräch mit dem Wall Street Journal zwar eingerämt, dass Lenovo die auf seinen Notebooks zwischen September und Dezember 2014 vorinstallierte Adware nicht sorgfältig genug geprüft hatte. Von einem Sicherheitsprblem wollte er aber nichts wissen. “Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen.” Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: “Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.”

Diese und ähnliche Sätze sind in der offiziellen Stellungnahme inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.

Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko . Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. “Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte”, schreibt er in einem Blogeintrag . Dem stimmt Sicherheitsexperte Graham Cluley zu. “Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können. Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.” Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.

“Damit ist das System ab Werk kompromittiert und als trojanisiert zu betrachten”, stellt der Berliner Informatiker Kristian Köhntopp auf seiner Google+-Seite fest. Das Problem betrifft sowohl Microsofts Internet Explorer als auch Googles Chrome auf Windows-Systemen. Firefox ist offenbar nicht betroffen, da es einen eigenen Zertifikatsspeicher einsetzt.

Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome , Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.

UPDATE 23.2.

Wie ZDNet-Autor Ed Bott auf Nachfrage von Windows-Spezialist Günther Born bestätigt, löscht Windows Defender das Stammzertifikat von Superfish nur, wenn es zuvor die Software-Komponente gefunden hat. Wurde diese bereits deinstalliert, dann bleibt das Stammzertifikat erhalten. Bott hat dies in einem Test nachgewiesen. Ihm wurde die Superfish-Software von einem Sicherheitsforscher zur Verfügung gestellt.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels