Server-Attacke

DROWN attackiert TLS über SSL-v2-Lücke

| Autor / Redakteur: Ivan Ristic* / Stephan Augsten

SSL v2 ist eigentlich obsolet und somit für die Tonne, gefährdet aber nach wie vor viele Server.
SSL v2 ist eigentlich obsolet und somit für die Tonne, gefährdet aber nach wie vor viele Server. (Bild: Archiv)

In einer neuen Untersuchung haben Forscher einen Angriff namens DROWN vorgestellt, der eine bislang unbekannte Schwachstelle in SSL v2 ausnutzt. Sogar das TLS-Protokoll lässt sich damit angreifen, selbst wenn SSL v2 nicht unterstützt wird.

SSL v2 ist die allererste Version von SSL, die 1995 veröffentlicht und ein Jahr später für tot erklärt wurde. Obwohl diese alte Version von SSL heute kaum mehr verwendet wird, wird sie immer noch von vielen Servern unterstützt. Das besondere Problem bei diesem Angriff ist, dass er zur Ausnutzung von TLS verwendet werden kann.

Solche ein TLS-Angriff ist selbst dann möglich, wenn die Client-Geräte SSL v2 nicht unterstützen; manchmal sogar in Fällen, in denen die Server SSL v2 nicht unterstützen, aber den gleichen RSA-Schlüssel verwenden wie ein anderer Server, der es unterstützt.

Nach Einschätzung der Forscher könnten bis zu 22 Prozent aller Server von diesem Problem betroffen sein. Dieser Angriff ist keine triviale Angelegenheit, sondern kann leicht gegen sehr wertvolle Ziele geführt werden.

Schnellstmögliche Deaktivierung von SSL v2

Nutzer sollten sich als Erstes vergewissern, dass Systeme nicht verwundbar sind, bevor sie weitere Schritte einleiten. Die Problembehebung ist unkompliziert: SSL v2 muss auf allen Servern deaktiviert werden.

Werden private RSA-Schlüssel mehrfach verwendet – und sei es mit unterschiedlichen Zertifikaten – ist die Deaktivierung von SSL v2 auf einem Server nicht effektiv, falls irgendein anderer Server (der möglicherweise einen anderen Hostnamen, Port oder sogar ein anderes Protokoll verwendet) diese alte, anfällige Protokollversion noch nutzt.

Auswirkung des generischen Angriffs

Der Angriff ist eine Weiterentwicklung der 1998 vorgestellten Bleichenbacher-Attacke, mit der ein Kryptotext entschlüsselt werden kann, wenn ein Padding Oracle angewandt wird. Nähere Informationen hierzu liefert der Originalbericht der Forscher zu DROWN. Entscheidend ist auf jeden Fall, dass einer von tausend vollständigen TLS-Handshakes entschlüsselt

In der Folge kann dann die gesamte TLS-Sitzung, sprich potenziell zahlreiche Datenverbindungen, kompromittiert werden. Dazu ist nicht viel Aufwand nötig: 440 US-Dollar und acht Stunden reichen schon aus. Der generische Angriff ist komplett passiv, erfordert aber, dass 1.) RSA-Schlüsselaustausch eingesetzt wird und es 2.) einen SSL-v2-Server gibt, der mit dem gleichen privaten RSA-Schlüssel konfiguriert ist.

Das Worst-Case-Szenario besteht darin, dass ein automatisierter Dienst angegriffen wird –irgendetwas, das Berechtigungsnachweise für Verbindungen enthalten kann. Zwar werden tausend vollständige TLS-Handshakes benötigt, doch ist es möglich, diese innerhalb weniger Stunden zu erhalten und die Berechtigungsnachweise entsprechend zu verwenden.

Schwieriger sind Angriffe auf Browser-Sitzungen, weil HTTPS-Server zumeist TLS-Sitzungen cachen, um den Handshake zu beschleunigen. Vor allem aber sind bei Benutzersessions selten Anmeldeinformationen zu bekommen: In den meisten Fällen können nur Session Cookies übernommen und Konten gekapert werden.

Den generischen Angriff beschleunigen

Will man nicht lange warten, um die tausend Handshakes zu sammeln, und hat auch keine Probleme damit, einen aktiven Angriff auszuführen, kann der Angriff durch das Einschleusen von JavaScript-Code in den Browser des Opfers optimiert werden. Allerdings muss dann noch das TLS Session-Caching überwunden werden, wobei TLS eine interessante Eigenschaft besitzt.

TLS-Sitzungen werden ungültig, sobald ein Fehler auftritt, zum Beispiel, wenn ein Client einen ungültigen TLS-Record erhält. Als MITM muss somit lediglich einen Fehler bei bestehenden TLS-Sitzungen erzwungen werden, damit bei der nächsten Verbindung wieder ein vollständiger Handshake durchgeführt wird. Auf diese Weise hat man die benötigten tausend TLS-Handshakes innerhalb kürzester Zeit beisammen.

Die beste Angriffsvariante: gegen verwundbare OpenSSL-Server

Die beste Angriffsvariante lässt sich gegen Server ausführen, die eine anfällige Version von OpenSSL verwenden. Die neueren Versionen von OpenSSL sind nicht anfällig, weil die ausgenutzte Schwachstelle (unwissentlich) im März 2015 gepatcht wurde. Doch sofern die Bedingungen stimmen, kann die gleiche SSL v2-Schwachstelle für Echtzeit-MITM-Angriffe ausgenutzt werden, und zwar sogar gegen Server, die den RSA-Schlüsselaustausch gar nicht unterstützen.

Obsolete Verschlüsselung ist gefährlich

Wieder einmal lässt sich feststellen, dass obsolete Verschlüsselung gefährlich ist. Jahrelang wurde als Argument für die Nicht-Abschaltung von SSL v2 ins Feld geführt, dass dieses Protokoll keinen Schaden anrichte, da es von keinem Browser unterstützt wird. Gleiches machte die Runde, bevor Logjam bekannt wurde, ebenso vor der Aufdeckung von FREAK.

Ivan Ristic
Ivan Ristic (Bild: Qualys)

Ganz offensichtlich funktioniert dieser Ansatz also nicht. Stattdessen muss künftig sichergestellt werden, dass alle obsoleten Verschlüsselungstechnologien offensiv von sämtlichen Systemen entfernt werden. Wird das versäumt, sind Probleme programmiert.

* Über den Autor

Ivan Ristic ist Sicherheitsexperte, Ingenieur und Autor. Bekannt ist er vor allem für seine Beiträge im Bereich der Web Application Firewall (WAF) sowie zur Entwicklung der ModSecurity, einer Open Source WAF. Er ist Leiter des SSL Labs von Qualys, auf dessen Webseite er regelmäßig Forschungen, Tools und Guides zu SSL/TLS und PKI publiziert.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43910106 / Security-Testing)