Studenten knacken Microsofts Cardspace
Studenten der Ruhr-Uni Bochum wollen einen Weg gefunden haben, wie sich bei Microsofts neuem Authentifizierungs-Framework Security-Tokens stehlen lassen. Ein Angreifer kann sich damit als sein Opfer ausgeben und etwa damit einkaufen.
- Daniel Bachfeld
Studenten der Ruhr-Uni Bochum wollen einen Weg gefunden haben, wie sich die bei Microsofts neuem Authentifizierungs-Framework CardSpace benutzten Security-Tokens stehlen lassen. Ein Angreifer käme damit an die geschützten und verschlüsselt übertragenen Nutzerdaten wie Passwörter, Kreditkartennummer und Lieferadresse heran. CardSpace (ehemals InfoCard) ist der Nachfolger von Passport, bei dem die persönlichen Daten eines Anwenders nicht auf einem zentralen Microsoft-Server, sondern lokal beim Anwender gespeichert sind. Der Anwender entscheidet abhängig von der jeweiligen Webseite welche Daten er übermittelt. CardSpace soll zudem die klassische Passwort-basierte Authentifizierung ablösen. Mit CardSpace lassen sich mehrere sogenannten Karten respektive Information Cards für verschiedene Anbieter verwalten.
Laut Bericht soll es mit Anti-DNS-Pinning beziehungsweise DNS-Rebinding, DNS-Spoofing und Drive-By-Pharming möglich sein, den übermittelten Token abzufangen. Im Wesentlichen ist es dazu erforderlich, die Namensauflösung des Anwendersystems zu manipulieren, damit der Token des browserbasierten CardSpace zum Angreifer gelangt. Dazu manipuliert dieser auf einem Router die DNS-Einträge beispielsweise per Cross Site Request Forgery und leitet den Anwender auf einen eigenen Name-Server um. Schaltet er während eines Authentifizierungsprozesses geschickt die Namensauflösung so um, dass der Anwender mal auf der echten CardSpace-Seite eines Shops und mal auf einer nachgemachten des Angreifers landet, so landet der Token bei ihm. Anschließend kann sich der Angreifer während der Gültigkeitsdauer des Tokens als sein Opfer ausgeben und etwa damit einkaufen.
Die Studenten haben einen Demo-Server aufgesetzt, der das Problem vorführen soll. Der Einfachheit halber soll man allerdings die eigenen DNS-Einstellungen ändern und ein nicht vertrauenswürdiges Zertifikat installieren, damit die Demo funktioniert. Im Test der heise-Security-Redaktion tat sie es allerdings nicht. Microsoft soll über das Problem informiert sein und an einer Lösung arbeiten. Die Studenten schlagen in dem Bericht vor, die Same Origin Policy als Sicherheitsfunktion der Browser zu verbessern.
Siehe dazu auch:
- RUB-Studenten knacken Microsofts "CardSpace", Mitteilung der RUB
(dab)
