Gefahr beim Homebanking: So arbeitet die neue SSL-Attacke

Bei der neuen Attacke, die Ray und Dispensa entwickelt haben, hilft auch eine Überprüfung des Zertifikats nicht. Sie nutzt eine geschickte Kombination mehrerer Umstände aus. Der zentrale Faktor ist dabei die sogenannte TLS-Renegotiation. Unter bestimmten Bedingungen handeln Client und Server die TLS-Sitzung neu aus. Die TLS-Renegotiation kann vom Client oder vom Server aus initiiert werden.

Obwohl die Neuaushandlung der Verschlüsselung unter dem Schutz der alten Verschlüsselung geschieht, gibt es eine Authentifizierungslücke, die dann auftritt, wenn Client und Server sich nicht auf "Session Resumption" verständigen. In diesem Fall kann ein Angreifer einen Client-Request auslesen und modifizieren.

Ray und Dispensa nutzten dazu HTTP-1.1-Pipelining und eine Injection-Attacke. Sie sandten am Ende ihrer Anfrage einen Kommentar (X-Ignore), der nicht mit einem Zeilenumbruch (CRLF) endete. So nutzten sie beispielsweise folgenden Request:

GET: /transfermoney.php?Konto=4711&Betrag=1000<cr><lf>
Host: example.com<cr><lf>
X-Ignore:

Zu beachten ist, dass nach „X-Ignore: kein <cr><lf> erfolgt. Der ahnungslose Client schickt anschließend folgenden Request:

GET: kontostand.php<cr><lf>
Cookie: 8F617A53BC83792C6D4<cr><lf>

Das führt dazu, dass der Server folgendes sieht:

GET: /transfermoney.php?Konto=4711&Betrag=1000<cr><lf>
Host: example.com<cr><lf>
X-Ignore: GET: kontostand.php<cr><lf>
Cookie: 8F617A53BC83792C6D4<cr><lf>

Damit hat sich der Angreifer mit dem richtigen Cookie authentifiziert und schickt einen Betrag von 1000 Euro an das Konto 4711. Der ursprüngliche Request des Clients, den Kontostand anzuzeigen, ist auskommentiert.

Die Forscher stellten fest, dass keine der getesteten Kombinationen von Webserver und Browsern eine "Session Resumption" durchführte. So konnten sie auf dem Man-in-the-Middle-Rechner eine zweite HTTPS-Session aufbauen, die unter dem Sicherheitskontext des ausspionierten Benutzers lief.