Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS

Durch Interaktionen von verschiedenen mit TLS geschützten Protokollen - beispielsweise FTP und HTTPS - lässt sich die Sicherheit aushebeln.

Artikel von veröffentlicht am
Alpaca nennt sich ein neuer TLS-Angriff, bei dem es um Interaktionen zwischen verschiedenen Protokollen geht.
Alpaca nennt sich ein neuer TLS-Angriff, bei dem es um Interaktionen zwischen verschiedenen Protokollen geht. (Bild: Philippe Lavoie/Wikimedia Commons)

Sicherheitsforscher haben eine Klasse von Cross-Protokoll-Angriffen auf TLS präsentiert. Der praktikabelste der gezeigten Angriffe betrifft Interaktionen zwischen einem Browser (HTTPS) und FTP-Servern. Die Entdecker nennen ihre Angriffe Alpaca (Application Layer Protocol Confusion - Analyzing and Mitigating Cracks in TLS Authentication).

Inhalt:
  1. Sicherheitslücke: Alpaca-Angriff zeigt Cross-Protokoll-Schwäche von TLS
  2. ALPN-Erweiterung kann Protokoll-Interaktionen blockieren

Die Grundidee bei Alpaca: Die TLS-Verschlüsselung unterscheidet nicht, welche Protokolle sich darunter befinden. Damit ist es beispielsweise für einen Angreifer möglich, eine Anfrage einer Clientanwendung auf einen anderen Port weiterzuleiten. Damit erzwingt man die Kommunikation von zwei komplett unterschiedlichen Protokollen, die eigentlich nichts miteinander zu tun haben. Das kann zu unerwarteten Ergebnissen und auch zu Sicherheitslücken führen.

Das praktikabelste Beispiel sind Angriffe mit dem FTP-Protokoll. Bereits vor einigen Jahren hatte der Sicherheitsexperte Jann Horn, der inzwischen für Google arbeitet, einen derartigen Cross-Protokoll-Angriff gezeigt. Als Reaktion wurden einige Gegenmaßnahmen in FTP-Servern implementiert, die sich jedoch als nicht ausreichend erwiesen haben.

Mittels FTP Cookies hochladen oder Webseiten herunterladen

Es gelang den Alpaca-Autoren, Cookie-Daten aus dem Browser auf einen FTP-Server hochzuladen und somit eine Browser-Session zu stehlen. Alternativ ließ sich auch ein FTP-Download im Browser als HTML-Seite interpretieren und damit ein Cross-Site-Scripting-Angriff durchführen. Voraussetzung für beide Angriffe ist, dass ein FTP-Server mit TLS-Unterstützung auf dem gleichen Hostnamen wie ein HTTPS-Server läuft und dass der Angreifer dort einen FTP-Account besitzt.

Stellenmarkt
  1. Ingenieur (m/w/d) Scientific Application / Support Schwerpunkt Data Analytics und Condition Monitoring
    Beckhoff Automation GmbH & Co. KG, Verl
  2. Softwareentwickler (m/w/d)
    LOGSOL GmbH, deutschlandweit (Home-Office möglich)
Detailsuche

Weitere Angriffe betreffen die E-Mail-Protokolle IMAP, SMTP und POP3. Allerdings funktionieren die Angriffe auf Mailserver alle nur mit Browsern, die vergleichsweise liberal in der Interpretation von Serverantworten sind und auch Antworten ohne korrekte HTTP-Header akzeptieren.

Das war in der inzwischen uralten HTTP-Version 0.9 vorgesehen, es wird aber von modernen Browsern nicht mehr unterstützt. Lediglich der Internet Explorer und Edge vor der Umstellung auf die Chrome-Browserengine verhalten sich noch so.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das grundsätzliche Problem bei allen Angriffen ist, dass TLS traditionell nicht zwischen den darunterliegenden Protokollen unterscheidet. Die TLS-Erweiterung ALPN (Application-Layer Protocol Negotiation) könnte hier allerdings Abhilfe verschaffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
ALPN-Erweiterung kann Protokoll-Interaktionen blockieren 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Der Fall Anne-Elisabeth Hagen
Lösegeldforderung per Bitcoin-Transaktion

Der Fall der verschwundenen norwegischen Millionärsgattin Anne-Elisabeth Hagen ist auch ein Krimi um Kryptowährungen und Anonymisierungsdienste.
Von Elke Wittich und Boris Mayer

Der Fall Anne-Elisabeth Hagen: Lösegeldforderung per Bitcoin-Transaktion
Artikel
  1. Smartwatch: Apple Watch Series 8 soll Fieberthermometer erhalten
    Smartwatch
    Apple Watch Series 8 soll Fieberthermometer erhalten

    Fiebermessen mit der Apple Watch soll ab 2022 möglich werden. Auch eine Extremsport-Version soll kommen.

  2. Mobiles Betriebssystem: iOS 15 reserviert einige Funktionen für neue iPhones
    Mobiles Betriebssystem
    iOS 15 reserviert einige Funktionen für neue iPhones

    iOS 15 unterstützt zwar noch sechs Jahre alte iPhones, doch erst ab dem iPhone XS kommen Nutzer in den Genuss aller neuen Funktionen.

  3. Microsoft: Windows-10-Nutzer von neuer Wetter-App genervt
    Microsoft
    Windows-10-Nutzer von neuer Wetter-App genervt

    Ungenaue Vorhersagen und matschige Schrift: Die Wetter-App in Windows 10 stört einige. Gleiches gilt beim News-Feed. Beides ist versteckbar.

hjp 10. Jun 2021 / Themenstart

Da werden Erinnerungen wach. Unsere ersten HTML-Seiten haben wir auch einfach auf den...

mxcd 09. Jun 2021 / Themenstart

Alte Browser und falsch implementierte Protokolle sind ein Sicherheitsrisiko. Who knew?

Norcoen 09. Jun 2021 / Themenstart

wat? Hier fehlt die Info, dass es eher um eine MITM-Attacke geht, oder?

LoopBack 09. Jun 2021 / Themenstart

Würde das TLS-Zertifikat auch das Protokoll umfassen wäre dieser Angriff nicht möglich...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • WD Black SN850 500GB PCIe 4.0 89€ • Amazon-Geräte günstiger • Crucial MX500 500GB 48,99€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • XXL Sale bei Alternate • LG OLED65CX9LA 120Hz 1.595€ [Werbung]
    •  /