Sicherheitsforscher haben festgestellt, dass die im Oktober entdeckte und Poodle genannte Lücke im Sicherheitsprotokoll SSL 3.0 auch den Nachfolger Transport Layer Security (TLS) betrifft. Laut Entwickler Adam Langley können Poodle-Angriffe auch gegen TLS-Verbindungen ausgeführt werden, wenn TLS eine Decodierungsfunktion von SSL 3.0 verwendet. Wie Ars Technica berichtet, sind davon auch namhafte Websites betroffen, darunter die Angebote der Bank of America, VMware und des US Department of Veteran’s Affairs.
Ähnlich wie bei Poodle können Hacker bei Angriffen auf TLS 1.x HTTP-Cookies erbeuten und dadurch die Identität eines Nutzers annehmen. An ein Cookie gelangt man durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.
„Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen“, heißt es weiter im Qualys-Blog. „Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.“
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch rund zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.
Ursprünglich waren die Forscher davon ausgegangen, dass nur SSL 3.0 betroffen ist, das durch TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 abgelöst wurde. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.
Qualys hat seinen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…