Zeitlos: Neue Angriffe auf NTP verwirren das Klientel von Zeitservern

Mit einem Update des Zeitsynchronisations-Dienstes NTP reagieren die Entwickler auf eine Reihe von neuen Angriffen. Damit lässt sich die Kommunikation zwischen Servern und Clients so manipulieren, dass die Clients falsche oder gar keine Zeiten bekommen.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Neue NTP-Version erschwert Amgriffe auf Zeitserver
Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Die Referenz-Umsetzung des Zeitserver-Dienstes NTP liegt nun in Version 4.2.8p4 vor. Damit schließen die Entwickler 13 Sicherheitslücken, unter anderem eine Reihe von Lücken, die vier Forscher der Boston University in einem Forschungspapier ausführlich beschreiben. Den Forschern war es über mehrere Wege gelungen, den Zeitdienst anzugreifen. Unter anderem konnten sie verhindern, dass Clients den Dienst nutzen können (Denial of Service, DoS) und sie unter bestimmten Umständen mit der falschen Zeit versorgen.

NTP wird dazu verwendet, die lokale Uhr von Computern aller Art über das Netz zu synchronisieren. Dafür stellen verschiedene Anbieter Server bereit, bei denen ein Client nach der aktuellen Uhrzeit fragen kann. So gut wie alle modernen Betriebssysteme regeln das unbemerkt im Hintergrund. Allerdings gab es in der Vergangenheit immer wieder Angriffe auf die Software-Implementationen dieses Systems sowie auf das NTP-Protokoll an sich.

Zwei der neuen Angriffe zeichnen sich vor allem dadurch aus, dass der Angreifer sich nicht als Man-in-the-Middle in die Verbindung zwischen Client und Server oder zwischen zwei NTP-Servern einklinken muss. Beide Arten des DoS-Angriffs machen sich das sogenannte Kiss-o'-Death-Paket (KoD) zunutze, um die Kommunikation zwischen Client und Server lahmzulegen. Das KoD-Paket dient einem NTP-Server dazu, einem Client zu verstehen zu geben, dass er überlastet ist und der Client weniger Anfragen stellen soll – eine Meldung der Art "nerv mich nicht, bin gerade sehr beschäftigt".

Die Angreifer können nun Pakete für alle Server fälschen, bei denen ein Client normalerweise seine Zeit abfragt. Und das auf eine solche Art, dass der Client monate- oder gar jahrelang seine interne Uhr nicht mehr aktualisiert. Das elegante an diesem Hack ist, dass der Angreifer nur sehr wenige Pakete verschicken muss. Bei der zweiten Angriffsmöglichkeit, welche die Forscher beschreiben, ist das anders. Hier muss er viele Anfragen des Clients fälschen und so den Server dazu bringen, den Client mit KoD-Paketen ruhigzustellen. Auch das führt dazu, dass er seine Uhr nicht mehr aktualisiert.

Beide Lücken (CVE-2015-7704 und CVE-2015-7705) wurden in der neuen NTP-Version geschlossen.

Mit zwei weiteren Angriffsmethoden schafften es die Forscher, den Clients falsche Uhrzeiten unterzuschieben. Normalerweise sollten Clients Zeiten, die mehr als 1000 Sekunden (ungefähr 16 Minuten) von ihrer Systemzeit abweichen, ignorieren – die sogenannte Panic Threshold. Das trifft allerdings in vielen Konfigurationen nicht auf NTP-Anfragen zu, die direkt nach einem Reboot des Clients abgeschickt werden. So lassen sich deren Systemzeiten fast beliebig manipulieren, wenn man sie zu einem Reboot zwingen kann. Mit so einer Manipulation wiederum lassen sich Krypto-Operationen manipulieren oder DoS-Angriffe auf Software fahren, die auf dem Client läuft.

Auch absichtliche Fragmentierung von IPv4-Paketen lässt sich dazu missbrauchen, die Zeitanfragen eines Clients durcheinander zu bringen und ihm so eine falsche Zeit unterzuschieben. Diese Methode ist allerdings sehr frickelig und die Forscher wollten sie nicht in freier Wildbahn testen, da sie Techniken der Jahrzehnte alten Teardrop-Attacke benutzt und alte Betriebssysteme zum Absturz bringen kann. Dieses Problem mit überlappenden TCP/IP-Paketen ist kein spezifischer Fehler des NTP-Protokolls, sondern der unterliegenden Betriebssysteme.

Entdeckt hatten die Forscher der Boston University die Sicherheitslücken am 20. August. Ihr Paper wurde erst jetzt veröffentlicht, um den NTP-Entwicklern Zeit zu geben, die Lücken zu stopfen. Die Forscher empfehlen Admins, die NTP-Server betreiben, diese möglichst schnell auf Version 4.3.8p4 zu aktualisieren. Desktop-Nutzer, die wissen wollen, ob die NTP-Version ihres Betriebssystems für die beschriebenen Angriffe anfällig ist, können einen Test der Forscher benutzen.

Das Forschungs-Paper in voller Länge als PDF:

(fab)