Abo
  • Services:
Anzeige
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains.
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo)

Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains.
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo)

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

Der Sicherheitsforscher Matthew Bryant hat eine kritische Sicherheitslücke im Zertifikatsausstellungsprozess von Comodo entdeckt. In Verifikationsmails, die dazu dienen, den Domaininhaber zu authentifizieren, lässt sich HTML-Code einschleusen. Damit kann man ein Opfer dazu bringen, den Domainverifikationscode an den Angreifer zu verschicken.

Anzeige

Domain-Inhaberbestätigung via E-Mail

Bei der Ausstellung von TLS-Zertifikaten muss zunächst nachgeprüft werden, ob dem Antragsteller die Domain, für die er ein Zertifikat bekommen möchte, auch gehört. Dafür gibt es verschiedene Verfahren, beispielsweise kann dies durch eine spezielle Datei mit einem Code geschehen, die auf dem Webserver abgelegt wird, oder über einen DNS-Record. Sehr üblich ist aber auch eine Verifikationsmethode via E-Mail: Dabei wird ein Verifikationscode an eine E-Mail-Adresse geschickt, die entweder in den Whois-Daten der Domain steht oder die mit einem von fünf reservierten Local-Parts beginnt (postmaster@, hostmaster@, admin@, administrator@, webmaster@).

Bei Comodos Verifikationsprozess werden vor dem Verschicken der Verifikationsmail einige Daten des Kunden abgefragt, unter anderem der Firmenname. Anschließend landen diese Daten - ungefiltert - in der Verifikationsmail. Das ermöglicht mehrere Angriffsszenarien.

Üblicherweise erlauben Mailclients das Verwenden von Javascript in Mails nicht, daher ist eine schlichte Cross-Site-Scripting-Attacke (XSS) nicht möglich. Doch Bryant beschreibt eine andere Methode, mit der sich dies ausnutzen lässt: In das Feld des Firmennamens fügte er ein HTML-Formular ein, das einen Button anzeigt, welcher vorgibt, den Antrag auf ein Zertifikat zurückzuziehen. Die Idee: Erhält jemand eine Mail, in der ein Zertifikat bestellt wurde, dass derjenige überhaupt nicht bestellt hat, klickt er möglicherweise auf einen Button, der diesen Vorgang abbricht. In Wahrheit schickt der Klick auf den Button jedoch Daten an einen Server des Angreifers.

Das Ende des HTML-Formulars enthält einen geöffneten Textarea-Tag, der nicht geschlossen wird. Dadurch wird der gesamte Rest der Mail Teil der Formulardaten. Den fehlenden schließenden Tag ignorieren HTML-Parser von Mailclients und Browser, da sie darauf ausgelegt sind, auch defekten HTML-Code lesen zu können. Durch diesen Trick erhält der Angreifer nun den Inhalt der Mail samt Verifikationscode und kann selbst ein Zertifikat für die Domain beantragen. Comodo wurde am 4. Juni über die Sicherheitslücke informiert, am 25. Juli wurde sie geschlossen.

HTML-Mails als Risiko

Dass die Domaininhaberverifikation ein sehr sensibler Schritt bei der Zertifikatsausstellung ist, dürfte klar sein. Daher erscheint es fragwürdig, dass Comodo hier überhaupt HTML-Mails einsetzt. Andere Zertifizierungsstellen setzen hier schlicht auf reine Textmails, was derartige Angriffe von vornherein vereitelt. Unabhängig davon erscheint es auch riskant, vom Nutzer zur Verfügung gestellte Daten in der Verifikationsmail zu verschicken, da es dafür eigentlich keinen Grund gibt.

Die Domaininhaberverifikation von Zertifizierungsstellen war schon öfter ein Angriffsvektor für Sicherheitslücken. Vor kurzem gab es etwa eine Lücke beim Service Start Encrypt, der ein eigenes Protokoll zur Inhaberverifikation nutzte. Immer wieder gibt es auch Mailanbieter, die die reservierten Mailadressen nicht sperren.

Unabhängig von derartigen Lücken ist der gesamte Zertifikatsausstellungsprozess problematisch, da die Feststellung des Domaininhabers nicht kryptographisch abgesichert ist. Das ist allerdings ein kaum lösbares Problem, da die Zertifikate ja gerade dazu dienen, kryptographische Verbindungen zu ermöglichen und vorab keine kryptographische Bestätigung des Domaininhabers vorhanden ist. Im vergangenen Jahr zeigten Sicherheitsforscher auf der Black-Hat-Konferenz einen Angriff mittels BGP-Routing.


eye home zur Startseite
phade 01. Aug 2016

... und dazu eine Bestellung bei Comodo auslösen muss. Da braucht man schonmal...

das_mav 31. Jul 2016

Ach na dann ists ja halb so wild. Dachte schon da wäre nur eine Abteilung unfähig - so...

My1 30. Jul 2016

naja nur wenn eine registry hinschaut dann fällt eine (oder im falle einiger gTLD...



Anzeige

Stellenmarkt
  1. Spheros GmbH, Gilching bei München
  2. mobileX AG, München
  3. BG-Phoenics GmbH, Hannover
  4. Experis GmbH, Kiel


Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. (täglich neue Deals)
  3. 17,99€ statt 29,99€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Für was verwendet man den noch im Jahr 2017?

    GaliMali | 03:52

  2. Re: Siri und diktieren

    Proctrap | 02:15

  3. Re: Habe nach meinen Umzug knapp ein halbes Jahr...

    Trockenobst | 00:58

  4. Re: Warum?

    NeoXolver | 00:48

  5. Re: Mittelmäßig nützlich, ersetzt kein LTE

    GnomeEu | 00:40


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel