SSL Version 2 ist bereits seit Mitte der 90er gebrochen. Trotzdem ist es auf über 30% aller Server weltweit noch nicht vollständig deaktiviert. Genau das ist jetzt der Ansatzpunkt, um auch das aktuellste Protokoll TLS 1.2 auszuhebeln und verschlüsselte Verbindungen zu brechen.

Der CycleSEC Co-Gründer Prof. Dr. Sebastian Schinzel von der Fachhochschule Münster hat in Kooperation mit einem internationalen Forscherteam heute Forschungsergebnisse präsentiert, die es möglich machen, die Sicherheitsfunktionen im SSL-Nachfolger TLS zu brechen. TLS wird u.A. zur Verschlüsselung von HTTPS-Verbindungen und E-Mail-Serververbindungen genutzt. An den Forschungsarbeiten waren international 15 Personen von fünf Hochschulen bzw. acht Organisationen beteiligt.

DROWN ist der Name des Angriffs, bei dem die Sicherheit von TLS-Verbindungen „ertränkt“ wird. Die Abkürzung steht für Decrypting RSA with Obsolete and Weakened eNcryption.

Eckdaten des Angriffs

Die Gruppe um Nimrod Aviram und Sebastian Schinzel zeigt in ihrem heute veröffentlichten Paper, wie sie eine passiv aufgezeichnete TLS-Verbindung im Nachhinein entschlüsseln kann, wenn die verwendeten RSA-Schlüssel irgendwo auch unter SSLv2 laufen.

Mittels TLS/HTTPS werden auch Web-Shops, Online-Banking und andere hoch sensible Websites geschützt. Durch die gefundenen Schwachstellen ist dieser Schutz auf über 30% aller Server weltweit nicht gewährleistet. Angreifer können so die Übertragung von User-Namen, Passwörtern, Kreditkartendaten und allen Informationen abhören, die zwischen einem Opfer und dem Webserver ausgetauscht werden – selbst dann, wenn das Opfer vor einem vollständig gepatchten Gerät sitzt, das selbst keine Schwachstellen aufweist.

Eine unnötigerweise aktivierte Unterstützung des seit Jahrzehnten veralteten Protokolls SSLv2 macht das Szenario erst möglich. Bisher wurde das nicht als Sicherheitsproblem gesehen, da SSLv2 praktisch keine Bedutung mehr hat. Dabei muss SSLv2 nicht einmal auf dem angegriffenen Server selbst aktiviert sein. Es reicht, wenn der gleiche verwendete öffentliche Schlüssel auf einem anderen System mit akticiertem SSLv2 genutzt wird. Ist SSLv2 auf allen betroffenen Systemen vollständig abgeschaltet, fehlt der Ansatzpunkt für den Angriff. Das Paper der Forschergruppe zeigt, dass SSLv2 nicht nur selbst anfällig ist, sondern die Sicherheit des gesamten TLS-Ökosystems ins Wanken bringt.

Die Idee, die letztlich zu den Forschungsergebnissen geführt hat, hatten Nimrod Aviram und Sebastian Schinzel gemeinsam vor etwa einem Jahr. Im Laufe der Forschungsarbeit wurde das Angriffsszenario durch zusätzliche Forscher erweitert.

Ja, SSLv2 gibt es noch

Auch wenn SSLv2 eigentlich ziemlich veraltet ist — zuletzt wurde das Protokoll von Internet-Explorer 6 unterstützt — können mittels des gezeigten Angriffs die TLS-Verbindungen von 33% aller HTTPS-Seiten im Internet gebrochen werden. Bei E-Mail-Verbindungen sieht es noch schlimmer aus (siehe Tabelle 4 im Paper). Alles, was ein Angreifer benötigt, ist ein von den Forschern entwickeltes Angriffswerkzeug und etwas Rechenzeit.

---

CycleSEC Workshops: In unseren Workshops zur sicheren Softwareentwicklung lernen Sie die wichtigsten Programmierfehler kennen und erfahren, wie Sie sie vermeiden.  → weitere Informationen…

---

Kritischer als BEAST, POODLE und Co.

Der Angriff ist nach allgemeiner Meinung mindestens genau so kritisch wie BEAST, CRIME, Logjam, FREAK, POODLE und andere bisher bekannt gewordene Angriffe.

Typische Szenarien

Ein technisch und kryptografisch einigermaßen versierter Angreifer kann den Angriff mit einem Budget von rund 400 EUR durchführen. Eine Variation des Angriffs speziell gegen OpenSSL ist trivial und bereits in wenigen Minuten auf dem Laptop durchzuführen.

In einem typischen Szenario muss ein Angreifer von einem Opfer ca. 1.000 TLS-Handshakes aufzeichnen und ca. 40.000 SSLv2 Verbindungen initiieren. Danach kann ein TLS Handshake mit 2048-bit RSA via Amazon Cloud EC2 für ca. 440 $ nach aktuellem Stand in weniger als 8 Stunden entschlüsselt werden.

Eine Variante des Angriffs auf ein ungepachtetes OpenSSL System (CVE-2015-0293) führt auch auf nur einer CPU innerhalb von Minuten zur Kompromittierung der betroffenen Verbindung und ermöglicht einen Man-in-the-Middle-Angriff auch gegen moderne Browser.

Betroffene Systeme

Bei Internet-weiten Scans hat die Forschergruppe ermittelt, dass 38% aller HTTPS-Server von der Schwachstelle betroffen sind.

Testen Sie Ihre Seite auf Verwundbarkeit

Auf der Webseite DROWNattack.com können Sie testen, ob Ihre Domains und IP-Adressen von dem Angriff betroffen sind. Achtung: Es handelt sich dabei nicht um einen Live-Test. Sie finden dort auch weitere Informationen und eine FAQ beantwortet die häufigsten Fragen zu DROWN.

Referenzen und weitere Informationen

Weitere Informationen finden Sie unter den folgenden Links:

• Whitepaper und Infos auf DROWNattack.com
• CVE-2016-0800
• CVE-2015-3197
• CVE-2015-0293

Da es sich letzten Endes um einen Konfigurationsfehler handelt, wird es außer zu CVE-2015-0293 keine Patches von Herstellern geben.

Berichterstattung (Auswahl)

In den folgenden Medien wurde berichtet:

• Ars Technica
• Heise Security
• Golem
• Süddeutsche Zeitung
• ZDNet
• Qualys
• Chip
• Spiegel Online
• The Hacker News
• Neue Züricher Zeitung
• The Guardian
• The Register