Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis

Die Drown-Attacke ermöglicht es Angreifern, die verschlüsselten Verbindungen etlicher Server zu knacken. Schuld ist ein Protokoll, das eigentlich längst vergessen ist: SSLv2.

In Pocket speichern vorlesen Druckansicht 178 Kommentare lesen
SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
Lesezeit: 5 Min.
Security
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Forscher haben einen Weg entdeckt, verschlüsselte SSL/TLS-Verbindungen zu knacken. Dazu nutzen sie ein steinaltes Protokoll, das eigentlich als ausgestorben gilt: SSLv2. Doch weit gefehlt – jeder dritte Server soll für den Drown getauften Angriff anfällig sein, darunter etliche prominente wie Flickr, Yahoo, AVM, VMware und diverse Behördenseiten.

Die Drown-Attacke: Der Angreifer liest den TLS-Traffic passiv mit und greift den Server anschließend über das uralte SSLv2 an, um die Aufzeichnung zu knacken.

Die Drown-Attacke ("Decrypting RSA with Obsolete and Weakend eNcryption") nutzt Schwächen in SSLv2, um verschlüsselte Verbindungen zu knacken, die zum Beispiel über das moderne TLS 1.2 abgewickelt werden. Das läuft so: Der Angreifer zeichnet zunächst passiv den TLS-Traffic auf. Anschließend greift er den Server über SSLv2 an, um das sogenannte Pre-Master-Secret aus dem TLS-Verkehr zu knacken. Damit kann er den zuvor aufgezeichneten Datenverkehr entschlüsseln. Wann der Datenverkehr aufgezeichnet wurde, spielt keine Rolle – ein Angreifer kann sogar Monate oder Jahre zuvor mitgeschnittene Daten knacken.

Bei dem SSLv2-Part handelt es sich um eine von den Forschern entwickelte Abwandlung der bereits 1998 vorgestellten Bleichenbacher-Attacke. Dabei führt der Angreifer einige tausende Handshakes mit dem Server durch. Er kann auf diese Weise das sogenannte Pre-Master-Secret knacken, das sich verschlüsselt in dem aufgezeichneten Traffic befindet. Hat er das geschafft, kann er die gesamte Sitzung entschlüsseln. Diese Form des Angriffs funktioniert nur, wenn der Schlüsselaustausch in dem aufgezeichneten Traffic nicht über Diffie Hellman erfolgt ist. Befindet sich der Angreifer jedoch als Man-in-the-Middle zwischen den beiden Verbindungspartnern, kann er erzwingen, dass der Schlüsselaustausch über RSA geschieht.

Gefahr aus der Krypto-Steinzeit

Überraschend ist die Erkenntnis der Forscher, dass rund ein Drittel aller Server, die verschlüsselt erreichbar sind, noch über SSLv2 angreifbar sind. Es gibt nämlich keinen Grund, diesen alten Standard noch zu unterstützen: Der letzte Browser, der noch v2 sprechen konnte, ist vermutlich der Internet Explorer 6 unter Windows XP. Aktuelle Apache-Versionen kann man nicht mal mit Gewalt dazu bringen, über SSLv2 zu kommunizieren.

Server können auch indirekt betroffen sein

Auch Verbindungen von Servern, die kein SSLv2 unterstützen, können betroffen sein. Es reicht aus, wenn ein anderer Server v2 spricht, dessen Zertifikat mit dem gleichen RSA-Schlüssel erstellt wurde.

Wie der Forscher Prof. Dr.-Ing. Sebastian Schinzel von der FH Münster gegenüber heise Security erklärte, zeigte sich bei einem Scan des gesamten IPv4-Adressraums, dass 17 Prozent aller HTTPS-Server das steinzeitliche Protokoll noch direkt unterstützen. Da in vielen Fällen Zertifikate eingesetzt werden, die mit dem gleichen Schlüsselmaterial erzeugt wurden, sind insgesamt sogar 33 Prozent der HTTPS-Server betroffen. Dazu zählen auch jene, die zwar selbst kein SSLv2 anbieten, aber Zertifikate einsetzen, die mit dem gleichen Schlüssel erzeugt wurden, der beispielsweise auch für das Zertifikat des über v2 erreichbaren Mail-Servers zum Einsatz kommt. Ein Angreifer kompromittiert dann den geheimen RSA-Schlüssel via SSLv2-Angriff und kann anschließend damit auch den TLS-Verkehr des scheinbar sicheren Servers ohne SSLv2 dechiffrieren, wenn dieser kein Diffie Hellman eingesetzt hat.

OpenSSL-Bug beschleunigt das Knacken

Der Drown-Angriff erfordert potente Hardware: Nutzt man etwa die GPU-beschleunigte EC2-Cloud von Amazon, kann man eine verschlüsselte Verbindung innerhalb von acht Stunden knacken. Für die gemietete Rechenzeit werden nach Angaben der Forscher rund 440 US-Dollar fällig. Das auf diese Weise entschlüsselte Pre-Master-Secret passt zu einer bestimmten TLS-Sitzung. Schneller geht es, wenn auf dem Server eine veraltete OpenSSL-Version läuft: Unter Ausnutzung der Schwachstelle CVE-2016-0703 ist das Secret auf einem einfachen PC bereits in unter einer Stunde geknackt. Bei den Scans der Forscher zeigte sich, dass auf rund vier Millionen Servern veraltete OpenSSL-Versionen laufen, die sich für den beschleunigten Angriff eignen.

Jetzt testen und SSLv2 abschalten!

Der Drown-Test verrät, ob ein Server während des Scans der Forscher anfällig war.

Das Forscherteam hat auf der Drown-Infopage eine Abfragemöglichkeit bereit gestellt, die verrät, ob ein bestimmter Server zum Zeitpunkt der Untersuchungen verwundbar war. Achtung: Es handelt sich dabei nicht um einen Live-Test. Um Server vor Drown zu schützen, muss man SSLv2 abschalten. Wie Schinzel gegenüber heise Security erklärte, zeigte sich vorab bei der Kommunikation mit wichtigen Herstellern, dass diese nicht bereit sind, das uralte SSLv2 noch reparieren, da es ohnehin keine Relevanz mehr hat.

Es genügt nicht, eventuell vorhandene Cipher Suites mit v2 aus der Server-Konfiguration zu entfernen. Ist das Protokoll nicht abgeschaltet, kann ein Angreifer den Server unter Umständen auch ohne passende Cipher Suite dazu bringen, SSLv2 zu sprechen. SSLv2 ist nicht erst seit Drown kaputt und sollte unter keinen Umständen weiter eingesetzt werden. Welche Server betroffen sind und wie man jeweils vorzugehen hat, erklärt das Forscherteam auf der Drown-Seite unter dem Punkt "How do I protect my server?". Aus Nutzersicht besteht kein Handlungsbedarf. (rei)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten