Sicherheitsforscher präsentieren Exploit für TLS-Lücke

Die Sicherheitsforscher Juliano Rizzo und Thai Duong haben einen Exploit entwickelt, der eine Sicherheitslücke in einer weit verbreiteten Technik zur Verschlüsselung von Webseiten ausnutzt. Sie nennen ihren Code BEAST, was laut Kasperskys Blog Threat Post für „Browser Exploit Against SSL/TLS“ steht.

Die Lücke steckt laut Rizzo und Duong in Version 1.0 von Transport Layer Security (TLS), dem Verschlüsselungsmechanismus, der Websites sichert, auf die per HTTS zugegriffen wird. TLS ist der Nachfolger von Secure Sockets Layer (SSL). Es wird hauptsächlich von Banken-Websites und Unternehmen genutzt – etwa Google, Facebook und Twitter.

Rizzo und Duong werden ihren Exploit am Freitag auf der Hackerkonferenz Ekoparty in Argentinien vorstellen. „Wir beschreiben auch eine Anwendung des Angriffs, um Authentifikations-Tokens und Cookies von HTTPS-Anfragen zu beschaffen und effizient zu entschlüsseln“, schreibt Rizzo. „Unser Exploit nutzt eine Schwachstelle aus, die derzeit in der SSL/TLS-Implementierung großer Webbrowser besteht.“

Nach Informationen von ThreatPost funktioniert BEAST, indem es den Browser eines Opfers dazu bringt, JavaScript-Code auszuführen, der mit einem Sniffer zusammenarbeitet, der die Netzwerkkommunikation des Nutzers überwacht. Das geht auch über den Umweg einer iframe-Anzeige. Mit der Methode lässt sich ein Authentifikations-Cookie abgreifen – eine kleine Textdatei, die unter anderem einem Webserver mitteilen kann, dass ein Nutzer autorisiert ist, sich einzuloggen.

The Register zufolge werden die Sicherheitsforscher ihren Exploit vorzeigen, indem sie damit ein Cookie entschlüsseln, das für den Zugriff auf PayPals Bezahlseite zuständig ist. Laut Rizzo dauert es im Moment rund zehn Minuten, den Angriff durchzuführen.

Dennoch ist Adam Langley, TLS-Experte bei Google, nicht besorgt. „Die Sicherheitsforscher haben BEAST Browserherstellern zur Verfügung gestellt, weshalb ich nicht im Detail darüber spreche, bis der Code öffentlich ist. Er ist ganz ordentlich, aber nichts, worüber man sich Sorgen zu machen braucht“, schreibt Langley in einer Twitter-Nachricht.

Sicherheitsforscher Karsten Nohl von der University of Virginia erklärte, der Exploit kombiniere zwei Bereiche der Sicherheitsarbeit: „Kryptoanalyse und clientseitige Angriffe. In diesem Fall wird ein bekanntes clientseitiges Problem – nämlich, dass Websites nicht voneinander abgeschirmt werden – dazu genutzt, eine Annahme der Kryptografie zu kontern: dass der Computer eines Nutzers ihn nicht angreifen wird.“

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago