RC4 Nomore: Neuer Exploit erlaubt Entschlüsselung von Cookies innerhalb weniger Stunden

Die Forscher Mathy Vanhoef und Frank Piessens von der Universität Leuven in Belgien haben eine neue Möglichkeit gefunden, Schwachstellen im Verschlüsselungsalgorithmus RC4 auszunutzen. Der RC4 Nomore genannte Angriff erlaubt es ihnen, Web Cookies innerhalb weniger Stunden zu entschlüsseln, die benutzt werden, um Nutzerdaten während der Kommunikation mit per HTTPS verschlüsselten Websites zu speichern.

„Frühere Angriffe gegen RC4 benötigten im Bereich von 2000 Stunden, aber die Methode von Vanhoef und Piessens ist bei realen Bedingungen in nur 52 Stunden erfolgreich“, kommentiert Carl Leonard, Principal Security Analyst bei Websense, in einem Blogeintrag. „Die Folge davon ist, dass ein Angreifer mit Man-in-the-Middle-Fähigkeiten einen Nutzer dazu bringen könnte, auf Code zuzugreifen, der die benötigten Daten generiert, um erfolgreich die Cookie-Daten auszulesen. Danach könnte sich der Angreifer in kurzer Zeit mit den Cookie-Daten im Namen des Opfers bei einer Website anmelden.“

RC4 ist eine der Optionen, die für eine HTTP-Verschlüsselung per Transport Layer Security (TLS) zur Verfügung steht. Dadurch soll eigentlich verhindert werden, dass Dritte den Datenverkehr zwischen Servern und Nutzern abhören. Auch wenn RC4 immer noch weit verbreitet ist, gilt der inzwischen fast 30 Jahre alte Algorithmus als anfällig für moderne Cyberangriffe. Die Internet Engineering Task Force (IETF) verbietet den Einsatz von RC4 bereits seit Februar 2015.

Das International Computer Science Institute der Berkeley University in Kalifornien weist darauf hin, dass noch 12,8 Prozent der in den vergangenen 30 Tagen erfassten Chiffrensammlungen RC4 verwenden. Das bedeutet, dass Hunderttausende Websites weltweit anfällig sind für RC4-Nomore-Angriffe und nicht mehr die Sicherheit der Daten ihrer Nutzer garantieren können.

Weitere Details zu ihrer Untersuchung wollen die Forscher im August auf dem Usenix Security Symposium in der US-Hauptstadt Washington präsentieren. „Wenn grundlegende Schwachstellen wie die im RC4-Algorithmus öffentlich gemacht werden, dann müssen Unternehmen effektive Maßnahmen ergreifen“, ergänzte Leonard. Für Unternehmen ergebe sich eine echte Bedrohung, die zu einer Offenlegung von geistigem Eigentum oder Finanzdaten führen könne – alles nur durch die Entschlüsselung eines Cookies innerhalb von 52 Stunden. „RC4 hat sich erneut als sehr unzuverlässige Methode für eine sichere Verschlüsselung erwiesen.“

[mit Material von Charlie Osborne, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

14 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago