Categories: Sicherheit

Schwere Sicherheitslücken in HTTP/2 entdeckt

Sicherheitsforscher von Imperva weisen auf eine Reihe schwerwiegender Anfälligkeiten in HTTP/2 (oder HTTP 2.0) hin, dem Nachfolger von HTTP/1.1. Ihre Befunde (PDF) stellten sie auf der Konferenz Black Hat USA vor.

HTTP/2 ist die jüngste Version des Hypertext Transfer Protocol. Es wurde im Mai 2015 verabschiedet und kommt seither immer häufiger zum Einsatz. Laut W3Techs setzen es derzeit 8,7 Prozent aller Websites ein – das sind rund 8,7 Millionen.

Ein Slow Read genannter Angriff kann durch einen bösartigen Client erfolgen, der Antworten bewusst sehr langsam empfängt – genau wie beim Slowloris-DDoS-Angriff, mit dem 2010 Finanzinstitute attackiert wurden. Slow-Read-Angriffe sind im HTTP-Ökosystem eigentlich bekannt, dennoch ist auch die jüngste Version auf diese Weise angreifbar. Dazu müssen HTTP/2-Implementierungen aber auf der Applikationsschicht attackiert werden. Varianten dieser Schwachstelle wurden in den Webservern Apache, IIS, Jetty, NGINX und nghttp2 gefunden.

Den zweiten Angriffstyp nennen die Forscher HPACK Bomb. Er ähnelt nach ihren Angaben einer „ZIP-Bombe“, also einer bösartigen Archivdatei, die das auslesende Programm oder System zum Absturz bringen soll, während zugleich häufig Antivirensoftware ausgeschaltet wird. Dabei werden aus kleinen, unverdächtig wirkenden Dateien beim Entpacken mehrere Gigabyte umfassende Datenmengen. Ihre Bewältigung erfordert oft alle Serverressourcen, und manchmal reichen auch sie nicht aus.

Als drittes Verfahren wurden „Dependence Cycle“-Angriffe genannt: HTTP/2 hat einen neuen Flow-Control-Mechanismus eingeführt, um Netzwerke zu optimieren. Er lässt sich für eine Attacke missbrauchen, indem ein Angreifer einen Kreislauf an Abhängigkeiten („Dependency Cycle“) schafft, also einen unendlichen Kreislauf, dem die Flusskontrolle nicht mehr entkommt.

Der vierte Angriffsvektor sind Stream-Multiplexing-Funktionen, die sich missbrauchen lassen, wenn ihre Implementierung auf dem Server Lücken aufweist. So können Angreifer Server zum Absturz bringen, der dann für legitime Nutzer nicht mehr erreichbar ist.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Für das Sicherheitsunternehmen Imperva kommentierte Gründer und CTO Amichai Shulman: „Die allgemeinen Web-Leistungsverbesserungen für Mobilanwendungen, die HTTP/2 eingeführt hat, sind ein potenzieller Gewinn für Internetnutzer. Entlässt man aber eine große Menge Code in kurzer Zeit in die freie Wildbahn, stellt das eine günstige Gelegenheit für Angreifer dar.“

Shulman kritisiert auch die große Zahl verbliebener Schwachstellen des Vorgängers: „Es ist verstörend, bekannte HTTP-1.x-Lücken in HTTP/2 vorzufinden, aber kaum überraschend. Wie bei jeder neuen Technik müssen Unternehmen auch diese vor der Einführung gründlich prüfen und Sicherheitsvorkehrungen implementieren, um die erweitere Angriffsfläche zu härten und kritische Geschäftsfunktionen sowie Kundendaten vor den sich weiterentwickelnden Cyberbedrohungen zu schützen.“

In anderen Sessions auf Black Hat USA wurden profanere und direktere Angriffsverfahren vorgestellt. Forscher Weston Hacker von Rapid7 zeigte ein aus Komponenten für 6 Dollar bestehendes handliches Werkzeug, mit dem sich Schlüsselkartensysteme in Hotels aushebeln lassen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago