Die im Oktober entdeckte Lücke im Sicherheitsprotokoll SSL 3.0 namens Poodle betrifft auch den Nachfolger Transport Layer Security (TLS). Das haben Sicherheitsforscher nun festgestellt. Nutzt TLS eine Decodierungsfunktion von SSL 3.0 können dem Entwickler Adam Langley zufolge Poodle-Angriffe durchgeführt werden.
Es soll sich um eine Variante der “Padding Oracle on Downgraded Legacy Encryption” (Poodle) genannten Schwachstelle. Wie Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys mitteilt, ist sie auch in der aktuellen TLS-Version 1.2 zu finden.
“Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle”, schreibt er in einem Blog. Da ein Downgrade des Clients auf SSL 3.0 nicht mehr nötig sei, könne ein Angriff allerdings einfacher ausgeführt werden.
Kriminelle können ähnliche wie bei Poodle mit Angriffen auf TLS 1.x HTTP-Cookies erbeuten. Somit sind sie in der Lage, die Identität eines Nutzers zu übernehmen. Durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, gelangt ein Angreifer an ein Cookie. Die manipulierte Verbindung ermöglicht Man-in-the-Middle-Attacken.
“Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen”, heißt es weiter im Qualys-Blog. “Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.”
Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch etwa zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.
Ursprünglich gingen die Forscher davon aus, dass nur SSL 3.0 betroffen ist. TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 haben es mittlerweile abgelöst. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.
Qualys hat den eigenen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…