Die im Oktober entdeckte Lücke im Sicherheitsprotokoll SSL 3.0 namens Poodle betrifft auch den Nachfolger Transport Layer Security (TLS). Das haben Sicherheitsforscher nun festgestellt. Nutzt TLS eine Decodierungsfunktion von SSL 3.0 können dem Entwickler Adam Langley zufolge Poodle-Angriffe durchgeführt werden.
Es soll sich um eine Variante der “Padding Oracle on Downgraded Legacy Encryption” (Poodle) genannten Schwachstelle. Wie Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys mitteilt, ist sie auch in der aktuellen TLS-Version 1.2 zu finden.
“Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle”, schreibt er in einem Blog. Da ein Downgrade des Clients auf SSL 3.0 nicht mehr nötig sei, könne ein Angriff allerdings einfacher ausgeführt werden.
Kriminelle können ähnliche wie bei Poodle mit Angriffen auf TLS 1.x HTTP-Cookies erbeuten. Somit sind sie in der Lage, die Identität eines Nutzers zu übernehmen. Durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, gelangt ein Angreifer an ein Cookie. Die manipulierte Verbindung ermöglicht Man-in-the-Middle-Attacken.
“Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen”, heißt es weiter im Qualys-Blog. “Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.”
Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch etwa zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.
Ursprünglich gingen die Forscher davon aus, dass nur SSL 3.0 betroffen ist. TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 haben es mittlerweile abgelöst. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.
Qualys hat den eigenen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…