Abo
  • Services:

Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

Artikel veröffentlicht am , Hanno Böck
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains.
Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo)

Der Sicherheitsforscher Matthew Bryant hat eine kritische Sicherheitslücke im Zertifikatsausstellungsprozess von Comodo entdeckt. In Verifikationsmails, die dazu dienen, den Domaininhaber zu authentifizieren, lässt sich HTML-Code einschleusen. Damit kann man ein Opfer dazu bringen, den Domainverifikationscode an den Angreifer zu verschicken.

Domain-Inhaberbestätigung via E-Mail

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Braunschweig
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Bei der Ausstellung von TLS-Zertifikaten muss zunächst nachgeprüft werden, ob dem Antragsteller die Domain, für die er ein Zertifikat bekommen möchte, auch gehört. Dafür gibt es verschiedene Verfahren, beispielsweise kann dies durch eine spezielle Datei mit einem Code geschehen, die auf dem Webserver abgelegt wird, oder über einen DNS-Record. Sehr üblich ist aber auch eine Verifikationsmethode via E-Mail: Dabei wird ein Verifikationscode an eine E-Mail-Adresse geschickt, die entweder in den Whois-Daten der Domain steht oder die mit einem von fünf reservierten Local-Parts beginnt (postmaster@, hostmaster@, admin@, administrator@, webmaster@).

Bei Comodos Verifikationsprozess werden vor dem Verschicken der Verifikationsmail einige Daten des Kunden abgefragt, unter anderem der Firmenname. Anschließend landen diese Daten - ungefiltert - in der Verifikationsmail. Das ermöglicht mehrere Angriffsszenarien.

Üblicherweise erlauben Mailclients das Verwenden von Javascript in Mails nicht, daher ist eine schlichte Cross-Site-Scripting-Attacke (XSS) nicht möglich. Doch Bryant beschreibt eine andere Methode, mit der sich dies ausnutzen lässt: In das Feld des Firmennamens fügte er ein HTML-Formular ein, das einen Button anzeigt, welcher vorgibt, den Antrag auf ein Zertifikat zurückzuziehen. Die Idee: Erhält jemand eine Mail, in der ein Zertifikat bestellt wurde, dass derjenige überhaupt nicht bestellt hat, klickt er möglicherweise auf einen Button, der diesen Vorgang abbricht. In Wahrheit schickt der Klick auf den Button jedoch Daten an einen Server des Angreifers.

Das Ende des HTML-Formulars enthält einen geöffneten Textarea-Tag, der nicht geschlossen wird. Dadurch wird der gesamte Rest der Mail Teil der Formulardaten. Den fehlenden schließenden Tag ignorieren HTML-Parser von Mailclients und Browser, da sie darauf ausgelegt sind, auch defekten HTML-Code lesen zu können. Durch diesen Trick erhält der Angreifer nun den Inhalt der Mail samt Verifikationscode und kann selbst ein Zertifikat für die Domain beantragen. Comodo wurde am 4. Juni über die Sicherheitslücke informiert, am 25. Juli wurde sie geschlossen.

HTML-Mails als Risiko

Dass die Domaininhaberverifikation ein sehr sensibler Schritt bei der Zertifikatsausstellung ist, dürfte klar sein. Daher erscheint es fragwürdig, dass Comodo hier überhaupt HTML-Mails einsetzt. Andere Zertifizierungsstellen setzen hier schlicht auf reine Textmails, was derartige Angriffe von vornherein vereitelt. Unabhängig davon erscheint es auch riskant, vom Nutzer zur Verfügung gestellte Daten in der Verifikationsmail zu verschicken, da es dafür eigentlich keinen Grund gibt.

Die Domaininhaberverifikation von Zertifizierungsstellen war schon öfter ein Angriffsvektor für Sicherheitslücken. Vor kurzem gab es etwa eine Lücke beim Service Start Encrypt, der ein eigenes Protokoll zur Inhaberverifikation nutzte. Immer wieder gibt es auch Mailanbieter, die die reservierten Mailadressen nicht sperren.

Unabhängig von derartigen Lücken ist der gesamte Zertifikatsausstellungsprozess problematisch, da die Feststellung des Domaininhabers nicht kryptographisch abgesichert ist. Das ist allerdings ein kaum lösbares Problem, da die Zertifikate ja gerade dazu dienen, kryptographische Verbindungen zu ermöglichen und vorab keine kryptographische Bestätigung des Domaininhabers vorhanden ist. Im vergangenen Jahr zeigten Sicherheitsforscher auf der Black-Hat-Konferenz einen Angriff mittels BGP-Routing.



Anzeige
Top-Angebote
  1. (u. a. PSN Card 20€ für 17,99€, Assassin's Creed Odyssey für 24,99€ und Tropico 6 für 31...
  2. (u. a. Fallout 4 GOTY für 26,99€ und Season Pass für 14,99€, Skyrim Special Edition für 17...
  3. (u. a. Logitech G910 + G402 für 99€ und ASUS Dual Radeon RX 580 OC + SanDisk SSD Plus 240 GB...
  4. (aktuell u. a. Corsair CX750 für 64,90€ + Versand)

phade 01. Aug 2016

... und dazu eine Bestellung bei Comodo auslösen muss. Da braucht man schonmal...

das_mav 31. Jul 2016

Ach na dann ists ja halb so wild. Dachte schon da wäre nur eine Abteilung unfähig - so...

My1 30. Jul 2016

naja nur wenn eine registry hinschaut dann fällt eine (oder im falle einiger gTLD...


Folgen Sie uns
       


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

    •  /