Abo
  • IT-Karriere:

Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

Artikel veröffentlicht am , Hanno Böck
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains.
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo)

Der Sicherheitsforscher Matthew Bryant hat eine kritische Sicherheitslücke im Zertifikatsausstellungsprozess von Comodo entdeckt. In Verifikationsmails, die dazu dienen, den Domaininhaber zu authentifizieren, lässt sich HTML-Code einschleusen. Damit kann man ein Opfer dazu bringen, den Domainverifikationscode an den Angreifer zu verschicken.

Domain-Inhaberbestätigung via E-Mail

Stellenmarkt
  1. Beschaffungsamt des Bundesministeriums des Innern, Bonn
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Bei der Ausstellung von TLS-Zertifikaten muss zunächst nachgeprüft werden, ob dem Antragsteller die Domain, für die er ein Zertifikat bekommen möchte, auch gehört. Dafür gibt es verschiedene Verfahren, beispielsweise kann dies durch eine spezielle Datei mit einem Code geschehen, die auf dem Webserver abgelegt wird, oder über einen DNS-Record. Sehr üblich ist aber auch eine Verifikationsmethode via E-Mail: Dabei wird ein Verifikationscode an eine E-Mail-Adresse geschickt, die entweder in den Whois-Daten der Domain steht oder die mit einem von fünf reservierten Local-Parts beginnt (postmaster@, hostmaster@, admin@, administrator@, webmaster@).

Bei Comodos Verifikationsprozess werden vor dem Verschicken der Verifikationsmail einige Daten des Kunden abgefragt, unter anderem der Firmenname. Anschließend landen diese Daten - ungefiltert - in der Verifikationsmail. Das ermöglicht mehrere Angriffsszenarien.

Üblicherweise erlauben Mailclients das Verwenden von Javascript in Mails nicht, daher ist eine schlichte Cross-Site-Scripting-Attacke (XSS) nicht möglich. Doch Bryant beschreibt eine andere Methode, mit der sich dies ausnutzen lässt: In das Feld des Firmennamens fügte er ein HTML-Formular ein, das einen Button anzeigt, welcher vorgibt, den Antrag auf ein Zertifikat zurückzuziehen. Die Idee: Erhält jemand eine Mail, in der ein Zertifikat bestellt wurde, dass derjenige überhaupt nicht bestellt hat, klickt er möglicherweise auf einen Button, der diesen Vorgang abbricht. In Wahrheit schickt der Klick auf den Button jedoch Daten an einen Server des Angreifers.

Das Ende des HTML-Formulars enthält einen geöffneten Textarea-Tag, der nicht geschlossen wird. Dadurch wird der gesamte Rest der Mail Teil der Formulardaten. Den fehlenden schließenden Tag ignorieren HTML-Parser von Mailclients und Browser, da sie darauf ausgelegt sind, auch defekten HTML-Code lesen zu können. Durch diesen Trick erhält der Angreifer nun den Inhalt der Mail samt Verifikationscode und kann selbst ein Zertifikat für die Domain beantragen. Comodo wurde am 4. Juni über die Sicherheitslücke informiert, am 25. Juli wurde sie geschlossen.

HTML-Mails als Risiko

Dass die Domaininhaberverifikation ein sehr sensibler Schritt bei der Zertifikatsausstellung ist, dürfte klar sein. Daher erscheint es fragwürdig, dass Comodo hier überhaupt HTML-Mails einsetzt. Andere Zertifizierungsstellen setzen hier schlicht auf reine Textmails, was derartige Angriffe von vornherein vereitelt. Unabhängig davon erscheint es auch riskant, vom Nutzer zur Verfügung gestellte Daten in der Verifikationsmail zu verschicken, da es dafür eigentlich keinen Grund gibt.

Die Domaininhaberverifikation von Zertifizierungsstellen war schon öfter ein Angriffsvektor für Sicherheitslücken. Vor kurzem gab es etwa eine Lücke beim Service Start Encrypt, der ein eigenes Protokoll zur Inhaberverifikation nutzte. Immer wieder gibt es auch Mailanbieter, die die reservierten Mailadressen nicht sperren.

Unabhängig von derartigen Lücken ist der gesamte Zertifikatsausstellungsprozess problematisch, da die Feststellung des Domaininhabers nicht kryptographisch abgesichert ist. Das ist allerdings ein kaum lösbares Problem, da die Zertifikate ja gerade dazu dienen, kryptographische Verbindungen zu ermöglichen und vorab keine kryptographische Bestätigung des Domaininhabers vorhanden ist. Im vergangenen Jahr zeigten Sicherheitsforscher auf der Black-Hat-Konferenz einen Angriff mittels BGP-Routing.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 26,99€
  3. (-80%) 9,99€

phade 01. Aug 2016

... und dazu eine Bestellung bei Comodo auslösen muss. Da braucht man schonmal...

das_mav 31. Jul 2016

Ach na dann ists ja halb so wild. Dachte schon da wäre nur eine Abteilung unfähig - so...

My1 30. Jul 2016

naja nur wenn eine registry hinschaut dann fällt eine (oder im falle einiger gTLD...


Folgen Sie uns
       


Fernsteuerung für autonome Autos angesehen

Das Fraunhofer-Institut für Offene Kommunikationssysteme zeigt die Fernsteuerung von Autos über Mobilfunk.

Fernsteuerung für autonome Autos angesehen Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

Autonomes Fahren: Per Fernsteuerung durch die Baustelle
Autonomes Fahren
Per Fernsteuerung durch die Baustelle

Was passiert, wenn autonome Autos in einer Verkehrssituation nicht mehr weiterwissen? Ein Berliner Fraunhofer-Institut hat dazu eine sehr datensparsame Fernsteuerung entwickelt. Doch es wird auch vor der Technik gewarnt.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Apple kauft Startup Drive.ai
  2. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  3. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos

    •  /