Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS

Durch Interaktionen von verschiedenen mit TLS geschützten Protokollen - beispielsweise FTP und HTTPS - lässt sich die Sicherheit aushebeln.

Artikel von veröffentlicht am
Alpaca nennt sich ein neuer TLS-Angriff, bei dem es um Interaktionen zwischen verschiedenen Protokollen geht.
Alpaca nennt sich ein neuer TLS-Angriff, bei dem es um Interaktionen zwischen verschiedenen Protokollen geht. (Bild: Philippe Lavoie/Wikimedia Commons)

Sicherheitsforscher haben eine Klasse von Cross-Protokoll-Angriffen auf TLS präsentiert. Der praktikabelste der gezeigten Angriffe betrifft Interaktionen zwischen einem Browser (HTTPS) und FTP-Servern. Die Entdecker nennen ihre Angriffe Alpaca (Application Layer Protocol Confusion - Analyzing and Mitigating Cracks in TLS Authentication).

Inhalt:
  1. Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS
  2. ALPN-Erweiterung kann Protokoll-Interaktionen blockieren

Die Grundidee bei Alpaca: Die TLS-Verschlüsselung unterscheidet nicht, welche Protokolle sich darunter befinden. Damit ist es beispielsweise für einen Angreifer möglich, eine Anfrage einer Clientanwendung auf einen anderen Port weiterzuleiten. Damit erzwingt man die Kommunikation von zwei komplett unterschiedlichen Protokollen, die eigentlich nichts miteinander zu tun haben. Das kann zu unerwarteten Ergebnissen und auch zu Sicherheitslücken führen.

Das praktikabelste Beispiel sind Angriffe mit dem FTP-Protokoll. Bereits vor einigen Jahren hatte der Sicherheitsexperte Jann Horn, der inzwischen für Google arbeitet, einen derartigen Cross-Protokoll-Angriff gezeigt. Als Reaktion wurden einige Gegenmaßnahmen in FTP-Servern implementiert, die sich jedoch als nicht ausreichend erwiesen haben.

Mittels FTP Cookies hochladen oder Webseiten herunterladen

Es gelang den Alpaca-Autoren, Cookie-Daten aus dem Browser auf einen FTP-Server hochzuladen und somit eine Browser-Session zu stehlen. Alternativ ließ sich auch ein FTP-Download im Browser als HTML-Seite interpretieren und damit ein Cross-Site-Scripting-Angriff durchführen. Voraussetzung für beide Angriffe ist, dass ein FTP-Server mit TLS-Unterstützung auf dem gleichen Hostnamen wie ein HTTPS-Server läuft und dass der Angreifer dort einen FTP-Account besitzt.

Stellenmarkt
  1. Software Support Spezialisten (m/w/d)
    IGH Infotec AG, Langenfeld
  2. WLAN Administrator (m/w/d)
    willy.tel GmbH, Hamburg
Detailsuche

Weitere Angriffe betreffen die E-Mail-Protokolle IMAP, SMTP und POP3. Allerdings funktionieren die Angriffe auf Mailserver alle nur mit Browsern, die vergleichsweise liberal in der Interpretation von Serverantworten sind und auch Antworten ohne korrekte HTTP-Header akzeptieren.

Das war in der inzwischen uralten HTTP-Version 0.9 vorgesehen, es wird aber von modernen Browsern nicht mehr unterstützt. Lediglich der Internet Explorer und Edge vor der Umstellung auf die Chrome-Browserengine verhalten sich noch so.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das grundsätzliche Problem bei allen Angriffen ist, dass TLS traditionell nicht zwischen den darunterliegenden Protokollen unterscheidet. Die TLS-Erweiterung ALPN (Application-Layer Protocol Negotiation) könnte hier allerdings Abhilfe verschaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
ALPN-Erweiterung kann Protokoll-Interaktionen blockieren 
  1. 1
  2. 2
  3.  


hjp 10. Jun 2021

Da werden Erinnerungen wach. Unsere ersten HTML-Seiten haben wir auch einfach auf den...

mxcd 09. Jun 2021

Alte Browser und falsch implementierte Protokolle sind ein Sicherheitsrisiko. Who knew?

Norcoen 09. Jun 2021

wat? Hier fehlt die Info, dass es eher um eine MITM-Attacke geht, oder?

LoopBack 09. Jun 2021

Würde das TLS-Zertifikat auch das Protokoll umfassen wäre dieser Angriff nicht möglich...



Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /