Sicherheitsforscher präsentieren Exploit für TLS-Lücke

Die Sicherheitsforscher Juliano Rizzo und Thai Duong haben einen Exploit entwickelt, der eine Sicherheitslücke in einer weit verbreiteten Technik zur Verschlüsselung von Webseiten ausnutzt. Sie nennen ihren Code BEAST, was laut Kasperskys Blog Threat Post für „Browser Exploit Against SSL/TLS“ steht.

Die Lücke steckt laut Rizzo und Duong in Version 1.0 von Transport Layer Security (TLS), dem Verschlüsselungsmechanismus, der Websites sichert, auf die per HTTS zugegriffen wird. TLS ist der Nachfolger von Secure Sockets Layer (SSL). Es wird hauptsächlich von Banken-Websites und Unternehmen genutzt – etwa Google, Facebook und Twitter.

Rizzo und Duong werden ihren Exploit am Freitag auf der Hackerkonferenz Ekoparty in Argentinien vorstellen. „Wir beschreiben auch eine Anwendung des Angriffs, um Authentifikations-Tokens und Cookies von HTTPS-Anfragen zu beschaffen und effizient zu entschlüsseln“, schreibt Rizzo. „Unser Exploit nutzt eine Schwachstelle aus, die derzeit in der SSL/TLS-Implementierung großer Webbrowser besteht.“

Nach Informationen von ThreatPost funktioniert BEAST, indem es den Browser eines Opfers dazu bringt, JavaScript-Code auszuführen, der mit einem Sniffer zusammenarbeitet, der die Netzwerkkommunikation des Nutzers überwacht. Das geht auch über den Umweg einer iframe-Anzeige. Mit der Methode lässt sich ein Authentifikations-Cookie abgreifen – eine kleine Textdatei, die unter anderem einem Webserver mitteilen kann, dass ein Nutzer autorisiert ist, sich einzuloggen.

The Register zufolge werden die Sicherheitsforscher ihren Exploit vorzeigen, indem sie damit ein Cookie entschlüsseln, das für den Zugriff auf PayPals Bezahlseite zuständig ist. Laut Rizzo dauert es im Moment rund zehn Minuten, den Angriff durchzuführen.

Dennoch ist Adam Langley, TLS-Experte bei Google, nicht besorgt. „Die Sicherheitsforscher haben BEAST Browserherstellern zur Verfügung gestellt, weshalb ich nicht im Detail darüber spreche, bis der Code öffentlich ist. Er ist ganz ordentlich, aber nichts, worüber man sich Sorgen zu machen braucht“, schreibt Langley in einer Twitter-Nachricht.

Sicherheitsforscher Karsten Nohl von der University of Virginia erklärte, der Exploit kombiniere zwei Bereiche der Sicherheitsarbeit: „Kryptoanalyse und clientseitige Angriffe. In diesem Fall wird ein bekanntes clientseitiges Problem – nämlich, dass Websites nicht voneinander abgeschirmt werden – dazu genutzt, eine Annahme der Kryptografie zu kontern: dass der Computer eines Nutzers ihn nicht angreifen wird.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago