OpenSSL-Update soll Drown-Attacken vereiteln

Forscher von vier Universitäten und Open-Source-Programmierer warnen unter der Adresse drownattack.com vor einem protokollübergreifenden Angriffsverfahren, das sie Drown nennen – auch als Akronym für „Decrypting RSA with Obsolete and Weakened eNcryption“. Darunter verstehen sie Entschlüsselung von TLS-Sessions aktueller Clients durch einen Bleichenbacher-Angriff auf einen SSL 2.0 unterstützenden Server, um an dessen privaten kryptografischen Schlüssel zu kommen.

Für OpenSSL liegt ein Quelltext-Patch mit den Versionen 1.0.2g und 1.0.1s vor. Beispielsweise Canonical, Red Hat und SUSE wollen ihre Linux-Betriebssysteme in Kürze mit Binärdatei-Updates versorgen.

Der beliebte SSL-Client OpenSSL ist ein naheliegendes Opfer für solche Angriffe, aber nicht das einzige denkbare. So können auch Microsofts Internet Information Services (IIS) in Version 7 und früher sowie die Kryptobibliothek Network Security Services (NSS) vor Version 3.13 (die allerdings von 2012 stammt) angegriffen werden. Auf der Drown-Website lässt sich ein Test durchführen.

Die Forscher glauben, dass etwa ein Drittel aller Server auf diese Weise angegriffen werden kann, die überhaupt HTTPS unterstützen. Das sind nach ihrer Rechnung etwa 11,5 Millionen Webserver. Darunter finden sich auch solche, die laut Alexa-Ranking zu den beliebtesten Sites zählen, etwa Alibaba, Sina und Youtube.

Die beschriebene Schwachstelle (PDF) ermöglicht Man-in-the-Middle-Angriffe, bei denen ein Angreifer im gleichen Netzwerk eine Serververbindung entführen kann. Die Forscher unterscheiden zwei Angriffswege, einen speziellen und einen allgemeinen, und schreiben darüber: „Wir konnten einen solchen Angriff mit einem einzelnen PC in weniger als einer Minute gegen OpenSSL-Versionen durchführen, die anfällig für CVE-2016-0703 sind. Und gegen einen Server ohne diese spezielle Schwachstelle kann die allgemeine Variante eingesetzt werden, wenn er SSL 2.0 unterstützt, wofür unter acht Stunden nötig sind und Kosten von 440 Dollar anfallen.“ Daher kommen sie zu dem Fazit: „SSL 2.0 einfach nur zuzulassen, auch wenn kein legitimer Client es je nutzt, ist eine Bedrohung moderner Server und Clients.“

Das Verfahren besteht darin, einen Server immer wieder über SSL 2.0 zu kontaktieren. Dadurch kann der Angreifer häppchenweise Informationen über den RSA-Schlüssel dieses Servers erhalten, der auch für Übertragungen mit fortschrittlicheren Protokollen genutzt wird.

Zwei Angriffsmöglichkeiten (Diagramm: drownattack.com)

Ivan Ristic von Qualys kommentiert: „Dieser Angriff ist nicht trivial. […] Zuerst sollte man sicherstellen, dass die eigenen Systeme nicht angreifbar sind. Zum Glück ist eine Behebung einfach: Deaktivieren Sie SSL 2.0 auf allen Ihren Servern. So einfach ist es … aber ich meine wirklich alle Server.“

Secure Sockets Layer (SSL) ist der Vorgänger von TLS, dessen Version 1.0 SSL 3.1 entspricht. Über SSL 2.0 ist fast seit seiner Veröffentlichung vor 20 Jahren bekannt, dass es kryptografische Schwächen aufweist, weshalb es längst in der Bedeutungslosigkeit versunken ist, aber aus Gründen der Rückwärtskompatibilität von vielen Servern noch unterstützt wird.

Drown ist nur die jüngste einer Reihe von Sicherheitslücken, mit denen verschlüsseltes HTTP angegriffen werden kann – und damit die wohl wichtigste Datenschutztechnik im Web. Auf Beast 2011 und Crime 2012 folgten 2013 Time, Lucky 13 und Breach. Mit Poodle 2014 sowie Freak und Logjam 2015 erreichte das Problem dann erstmals eine breitere Öffentlichkeit. Speziell OpenSSL war 2014 zudem von der Heartbleed-Lücke betroffen.

[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.