HTML-Injection-Lücke erlaubte Zertifikatsklau bei Comodo

Eine Lücke im Zertifikats-Bestellsystem der Certification Authority Comodo erlaubte es Angreifern, sich SSL-Zertifikate für fremde Websites ausstellen zu lassen, was Man-in-the-middle-Lauschangriffe auf deren Traffic ermöglicht.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Dr. Harald Bögeholz

Der Sicherheitsexperte Matthew Bryant berichtet in seinem Blog von seiner Entdeckung einer mittlerweile geschlossenen Sicherheitslücke beim Zertifikatsanbieter Comodo. Dort kann man sich für Testzwecke kostenlos ein 30 Tage lang gültiges SSL-Zertifikat für seine Website ausstellen lassen.

Bei seiner Analyse des Bestell-Prozesses fiel Bryant auf, dass er in einer Bestätigungs-(HTML-)Mail von Comodo einige von ihm eingegebene Daten zurückbekam – ohne korrektes Escaping. Das bedeutet: Von ihm eingegebenes HTML wurde unverändert in die Bestätigungs-Mail übernommen, und da es sich dabei um eine HTML-Mail handelte, vom empfangenden Mail-Client als HTML interpretiert.

Damit konnte er ein Angriffs-Szenario konstruieren und demonstrieren: Die Bestätigungs-Mail enthält oben den Firmennamen des Adressaten und weiter unten den Verifikationscode, den der Angreifer haben möchte. Indem er als Firmenname HTML-Code für ein Web-Formular eingab mit einem harmlos aussehenden Button "Click here to reject this request", hätte er bei Anklicken dieses Buttons die Formulardaten an seinen eigenen Server geliefert bekommen. Der Witz an dem Formular: Es enthält nur ein öffnendes <textarea>-Tag, aber kein schließendes. Der gesamte Rest der Mail, insbesondere der begehrte Verifikationscode, wäre also übermittelt worden – Mail-Clients stören sich nicht an kaputtem HTML und versuchen es zu interpretieren, so gut es eben geht.

Der Angriff hätte mit dieser Technik wie folgt funktioniert: Man bestelle im Namen einer anzugreifenden Site ein solches Zertifikat. Die Bestätigungs-Mail geht an den im WHOIS-Record verzeichneten Besitzer der Domain. Dieser bekommt eine völlig echt aussehende Mail von Comodo zu einer Zertifikats-Anforderung, die er nicht getätigt hat. Mit etwas Glück klickt er auf "Click here to reject this request" – und übermittelt dem Angreifer damit genau das, was er braucht. Dieser könnte sich mit den erhaltenen Daten bei Comodo einloggen, das Zertifikat herunterladen und für Man-in-the-middle-Lauschangriffe einsetzen.

Bryant hat Comodo am 4. Juni über die Lücke informiert und mit der Veröffentlichung bis zu deren Schließung am 25. Juli gewartet. Eine ausführlichere Schilderung findet sich in seinem Blog-Beitrag Keeping Positive – Obtaining Arbitrary Wildcard SSL Certificates from Comodo via Dangling Markup Injection. (bo)