TrueCrypt über mehrere Sicherheitslücken angreifbar

Der bei Google beschäftigte Sicherheitsforscher James Forshaw hat zwei gefährliche Sicherheitslücken in TrueCrypt gefunden. Sie stecken in einem Treiber der Verschlüsselungssoftware für Windows-Rechner. Unter Ausnutzung der Schwachstellen könnten Unbefugte Systemrechte erlangen. Dies funktioniert sogar dann, wenn der angemeldete Benutzer nur über ein eingeschränktes Konto verfügt.

Die Schwachstellen sind unter den Kennungen CVE-2015-7538 und CVE-2015-7539 registriert. In TrueCrypt werden sie allerdings nicht mehr beseitigt werden, da der Entwickler seine Arbeit an der Software eingestellt hat. In der seit Samstag verfügbaren Version 1.15 von VeraCrypt, einer Open-Source-Anwendung, die auf dem Code von TrueCrypt basiert, sollen sie geschlossen werden. Deren Entwickler stufen allerdings nur CVE-2015-7358 als “kritisch” ein.

Die Autoren von TrueCrypt hatten ihr Projekt im Mai 2014 eingestellt. Sie gaben damals als Grund an, die Software sei “unsicher”. Freiwillige hatten zuvor ein Security-Audit unternommen, dessen erste Phase mit “recht positiven Ergebnissen” abgeschlossen wurde. Gerüchten zufolge könnten auch von der NSA eingebaute Hintertüren der Grund gewesen sein.

Ein Audit von Ingenieuren von iSEC Partners hat jedoch keine Hinweise auf absichtlich eingefügte Sicherheitslücken oder gar Hintertüren im Code gefunden. Gegenstand der Prüfung war auch der jetzt als fehlerhaft eingestufte Windows-Treiber. Forshaw macht ihnen aber dennoch keinen Vorwurf: Ein Fehler, der eine unautorisierte Rechteausweitung erlaube, sei schnell übersehen.

TrueCrypt und VeraCrypt sind weit verbreitet, da sie zu den wenigen kostenlosen Programmen für Windows zählen, die eine vollständige Festplattenverschlüsselung erlauben. Nutzer, die derzeit noch TrueCrypt einsetzen, wird empfohlen, nun auf VeraCrypt umsteigen. Auch das von einem Berliner Unternehmen entwicklete Steganos Safe bietet sich als Alternative an.

[mit Material von Stefan Beiersmann, ZDNet.de]