Lücken in STARTTLS-Implementierungen

Lücken in den Implementierungen des STARTTLS-Verfahrens zum Aufbau einer verschlüsselten TLS-Verbindung ermöglichen das Einschleusen von Befehlen in eine Verbindung. Das Besondere daran ist laut der Beschreibung des Entdeckers und Postfix-Entwicklers Wietse Venema, dass man die Befehle in die noch nicht gesicherte beziehungsweise verschlüsselte Verbindung einschleust, diese aber erst nach dem Aufbau der gesicherten Verbindung ausgeführt werden.

Venema veranschaulicht das Problem mit einem Beispiel, bei dem SMTP mit TLS abgesichert wird. Ein Client sendet "STARTTLS\r\n", ein Angreifer macht daraus via MiTM-Attacke etwa ein "STARTTLS\r\nRSET\r\n". Zunächst etablieren Client und Server eine TLS-Verbindung. Der zusätzliche RSET-Befehl, der während der ungeschützten Phase eingeschleust wurde, erscheint dem Server aber nun, als wäre er nach dem Aufbau der TLS-Verbindung übertragen worden.

Laut Venema können Angreifer über eingeschleuste Befehle E-Mails mitlesen oder Nutzername und Passwort ausspähen. Das funktioniert grundsätzlich auch bei allen anderen Protokollen, die TLS nutzen und während einer Verbindung von unsicher auf sicher "umschalten", beispielsweise bei POP3, IMAP, NNTP und FTP. Allerdings ist nicht jede STARTTLS-Implementierung verwundbar. Einer Liste des US-CERT zufolge sind IPswitch-Produkte, Kerio, Postfix, Qmail, Sun und SCO von dem Problem betroffen. Bei vielen weiteren Herstellern oder Produkten ist der Status derzeit unklar. In Postfix ist das Problem in den Versionen 2.7.3, 2.6.9, 2.5.12 und 2.4.16 beseitigt.

Venema weist aber daraufhin, dass viele Implementierung ohnehin anfällig für MiTM-Attacken seien, weil sie zwar eine verschlüsselte Verbindung aufbauen, jedoch die Server-Zertifikate nicht oder nicht hinreichend auf ihre Gültigkeit überprüfen würden. (dab)