Poodle kann auch TLS-Verbindungen betreffen

Die im Oktober entdeckte Lücke im Sicherheitsprotokoll SSL 3.0 namens Poodle betrifft auch den Nachfolger Transport Layer Security (TLS). Das haben Sicherheitsforscher nun festgestellt. Nutzt TLS eine Decodierungsfunktion von SSL 3.0 können dem Entwickler Adam Langley zufolge Poodle-Angriffe durchgeführt werden.

Davon seien auch namhafte Websites betroffen, darunter die Angebote der Bank of America, VMware und des US Department of Veteran’s Affairs, berichtet Ars Technica.

Es soll sich um eine Variante der “Padding Oracle on Downgraded Legacy Encryption” (Poodle) genannten Schwachstelle. Wie Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys mitteilt, ist sie auch in der aktuellen TLS-Version 1.2 zu finden.

“Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle”, schreibt er in einem Blog. Da ein Downgrade des Clients auf SSL 3.0 nicht mehr nötig sei, könne ein Angriff allerdings einfacher ausgeführt werden.

Recht praktikable Attacke

Kriminelle können ähnliche wie bei Poodle mit Angriffen auf TLS 1.x HTTP-Cookies erbeuten. Somit sind sie in der Lage, die Identität eines Nutzers zu übernehmen. Durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, gelangt ein Angreifer an ein Cookie. Die manipulierte Verbindung ermöglicht Man-in-the-Middle-Attacken.

“Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen”, heißt es weiter im Qualys-Blog. “Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.”

Erste Verdachtsfälle bereits im Oktober

Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch etwa zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.

Ursprünglich gingen die Forscher davon aus, dass nur SSL 3.0 betroffen ist. TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 haben es mittlerweile abgelöst. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.

Qualys hat den eigenen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

5 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

5 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago