Die Sicherheitsforscher Juliano Rizzo und Thai Duong haben einen Exploit entwickelt, der eine Sicherheitslücke in einer weit verbreiteten Technik zur Verschlüsselung von Webseiten ausnutzt. Sie nennen ihren Code BEAST, was laut Kasperskys Blog Threat Post für „Browser Exploit Against SSL/TLS“ steht.
Die Lücke steckt laut Rizzo und Duong in Version 1.0 von Transport Layer Security (TLS), dem Verschlüsselungsmechanismus, der Websites sichert, auf die per HTTS zugegriffen wird. TLS ist der Nachfolger von Secure Sockets Layer (SSL). Es wird hauptsächlich von Banken-Websites und Unternehmen genutzt – etwa Google, Facebook und Twitter.
Rizzo und Duong werden ihren Exploit am Freitag auf der Hackerkonferenz Ekoparty in Argentinien vorstellen. „Wir beschreiben auch eine Anwendung des Angriffs, um Authentifikations-Tokens und Cookies von HTTPS-Anfragen zu beschaffen und effizient zu entschlüsseln“, schreibt Rizzo. „Unser Exploit nutzt eine Schwachstelle aus, die derzeit in der SSL/TLS-Implementierung großer Webbrowser besteht.“
Nach Informationen von ThreatPost funktioniert BEAST, indem es den Browser eines Opfers dazu bringt, JavaScript-Code auszuführen, der mit einem Sniffer zusammenarbeitet, der die Netzwerkkommunikation des Nutzers überwacht. Das geht auch über den Umweg einer iframe-Anzeige. Mit der Methode lässt sich ein Authentifikations-Cookie abgreifen – eine kleine Textdatei, die unter anderem einem Webserver mitteilen kann, dass ein Nutzer autorisiert ist, sich einzuloggen.
The Register zufolge werden die Sicherheitsforscher ihren Exploit vorzeigen, indem sie damit ein Cookie entschlüsseln, das für den Zugriff auf PayPals Bezahlseite zuständig ist. Laut Rizzo dauert es im Moment rund zehn Minuten, den Angriff durchzuführen.
Dennoch ist Adam Langley, TLS-Experte bei Google, nicht besorgt. „Die Sicherheitsforscher haben BEAST Browserherstellern zur Verfügung gestellt, weshalb ich nicht im Detail darüber spreche, bis der Code öffentlich ist. Er ist ganz ordentlich, aber nichts, worüber man sich Sorgen zu machen braucht“, schreibt Langley in einer Twitter-Nachricht.
Sicherheitsforscher Karsten Nohl von der University of Virginia erklärte, der Exploit kombiniere zwei Bereiche der Sicherheitsarbeit: „Kryptoanalyse und clientseitige Angriffe. In diesem Fall wird ein bekanntes clientseitiges Problem – nämlich, dass Websites nicht voneinander abgeschirmt werden – dazu genutzt, eine Annahme der Kryptografie zu kontern: dass der Computer eines Nutzers ihn nicht angreifen wird.“
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…