Sicherheitsforscher: Poodle betrifft auch neuere TLS-Versionen

Sicherheitsforscher haben festgestellt, dass die im Oktober entdeckte und Poodle genannte Lücke im Sicherheitsprotokoll SSL 3.0 auch den Nachfolger Transport Layer Security (TLS) betrifft. Laut Entwickler Adam Langley können Poodle-Angriffe auch gegen TLS-Verbindungen ausgeführt werden, wenn TLS eine Decodierungsfunktion von SSL 3.0 verwendet. Wie Ars Technica berichtet, sind davon auch namhafte Websites betroffen, darunter die Angebote der Bank of America, VMware und des US Department of Veteran’s Affairs.

Demnach handelt es sich um eine Variante der „Padding Oracle on Downgraded Legacy Encryption“ (Poodle) genannten Schwachstelle. Laut Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys, steckt sie auch in der aktuellen TLS-Version 1.2. „Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle“, schreibt er in einem Blogeintrag. Ein Angriff sei allerdings einfacher auszuführen, da ein Downgrade des Clients auf SSL 3.0 nicht mehr notwendig sei.

Ähnlich wie bei Poodle können Hacker bei Angriffen auf TLS 1.x HTTP-Cookies erbeuten und dadurch die Identität eines Nutzers annehmen. An ein Cookie gelangt man durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

„Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen“, heißt es weiter im Qualys-Blog. „Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.“

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch rund zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.

Ursprünglich waren die Forscher davon ausgegangen, dass nur SSL 3.0 betroffen ist, das durch TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 abgelöst wurde. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.

Qualys hat seinen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago