Abo
  • Services:
Anzeige
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

Tavis Ormandy dürfte inzwischen in der Antivirenbranche gefürchtet sein. Der Mitarbeiter von Googles Project Zero findet regelmäßig gravierende Sicherheitslücken in Antivirensoftware und anderen IT-Sicherheitsprodukten. Ormandys Arbeit hat zuletzt auch dazu geführt, dass der Nutzen von Antivirensoftware zunehmend infrage gestellt wird.

Anzeige

Kaspersky bricht verschlüsselte Verbindungen auf

Nun hat es erneut Kaspersky getroffen. Die in Russland entwickelte Software schlampt bei der Zertifikatsprüfung - und wirft dabei ein Schlaglicht auf eine besondere Problematik: Antivirensoftware nutzt oft Man-in-the-Middle-Angriffe, um verschlüsselte Verbindungen mitlesen zu können.

Die Kaspersky-Software installiert dabei ein Zertifikat im Webbrowser des Nutzers, um den verschlüsselten Datenverkehr mitlesen zu können. Für jede besuchte HTTPS-Webseite wird dann automatisch ein temporäres Zertifikat generiert, damit der Browser weiterhin eine verschlüsselte Verbindung sieht. Im Hintergrund verbindet sich die Kaspersky-Software dann mit der eigentlichen Webseite.

Kaspersky nutzt dabei einen Cache, in dem bereits bekannte und geprüfte Zertifikate abgelegt werden. Das Problem dabei: Um zu prüfen, ob ein Zertifikat im Cache vorhanden ist, nutzt die Kaspersky-Software einen 32-Bit-Hash. Es ist damit trivial möglich, mittels eines Brute-Force-Angriffs ein anderes Zertifikat zu erzeugen, das denselben Hash wie ein bestehendes Zertifikat hat.

Ein Angreifer könnte nun für eine bekannte Domain, die bereits im Cache vorhanden ist, ein selbst signiertes Zertifikat erstellen, das lediglich denselben Hostnamen haben muss wie eine angegriffene Webseite.

Doch dieser Bug führt nicht nur dazu, dass ein Angreifer Verbindungen mitlesen kann. Er kann auch schlicht dazu führen, dass Verbindungen fehlschlagen, da bei einem 32-Bit-Hash Kollisionen so häufig sind, dass sie auch zufällig auftreten können. Beispielsweise kollidieren die Hashes einer Webseite der Stadt Manchester in Conneticut und von Hacker News. Wer beide Webseiten hintereinander besucht, erhält einen Zertifikatsfehler, da der Hostname nicht passt.

Einen Tipp für Webmaster, die nicht wollen, dass die Kaspersky-Software ihren Datenverkehr inspiziert, hat Ormandy auch noch: Verbindungen mit dem von Google entwickelten QUIC-Protokoll werden ignoriert. Daher sehen Nutzer im Chrome-Browser auf vielen Google-Webseiten auch ein korrektes Zertifikat.

Erinnerung an Superfish und Co.

Dass Software, die TLS-Verbindungen mittels Man-in-the-Middle-Angriffen aufbricht, problematisch ist, ist eigentlich bekannt. Im Frühjahr 2015 sorgte die Adware Superfish dafür, dass die TLS-Verbindungen von Lenovo-Laptops angegriffen werden konnten. Infolgedessen wurden zahlreiche weitere, ähnliche Programme mit vergleichbaren Sicherheitslücken gefunden. Auch in der Kaspersky-Software selbst wurde vom Autor dieses Artikels kurz darauf eine Sicherheitslücke gefunden.


eye home zur Startseite
HansUlrich 05. Jan 2017

"Einen Tipp für Webmaster [...]"

SoniX 04. Jan 2017

PS: Und natürlich scannt ein Virenscanner auch den Arbeitsspeicher. Der ist ja nicht nur...



Anzeige

Stellenmarkt
  1. Continental AG, Hannover
  2. Schock GmbH, Regen
  3. BGW, Hamburg
  4. ibau GmbH, Münster


Anzeige
Top-Angebote
  1. Alte PS4 inkl. Controller + 2 Spiele + 99,99€ = PlayStation 4 Pro (1TB)
  2. (-60%) 11,99€

Folgen Sie uns
       


  1. Mediacenter-Software

    Warum Kodi DRM unterstützen will

  2. Satelliteninternet

    Apple holt sich Satellitenexperten von Alphabet

  3. Microsoft

    Bis 2020 kein Office-Support mehr für einige Cloud-Dienste

  4. Sonos Playbase vs. Raumfeld Sounddeck

    Wuchtiger Wumms im Wohnzimmer

  5. Regierungspräsidium

    Docmorris muss Automatenapotheke schließen

  6. System-Update

    Android-Malware millionenfach aus Play Store runtergeladen

  7. Internetdienste

    VZBV fordert Kontrolle von Algorithmen

  8. SK Hynix

    Erste Grafikkarte mit GDDR6-Videospeicher erscheint 2018

  9. Internetzugang

    Bei halber Datenrate auch nur halber Preis

  10. Suchmaschinen

    Internet Archive will künftig Robots.txt-Einträge ignorieren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs
  2. Grafikkarten AMD stellt Radeon RX 560 und Radeon RX 550 vor
  3. Grafikkarte AMDs Radeon RX 580 nutzt einen 8-Pol-Stromanschluss

Galaxy S8 vs. LG G6: Duell der Pflichterfüller
Galaxy S8 vs. LG G6
Duell der Pflichterfüller
  1. Smartphones Es wird eine spezielle Microsoft Edition des Galaxy S8 geben
  2. Galaxy S8 und S8+ im Kurztest Samsung setzt auf langgezogenes Display und Bixby
  3. Smartphones Samsungs Galaxy S8 könnte teuer werden

  1. Re: Völliger Bullshit

    KillerSoftware | 15:18

  2. Re: Google ist dann der nächste

    lestard | 15:17

  3. Re: Ist das Toslink-Problem nicht viel schlimmer?

    psycle | 15:16

  4. Re: Was mir an diesen Systemen gefällt

    chewbacca0815 | 15:16

  5. Re: ab 2007: Kompatibilität für lange Laufzeit

    burzum | 15:15


  1. 13:45

  2. 13:13

  3. 12:30

  4. 12:04

  5. 11:47

  6. 11:00

  7. 10:42

  8. 10:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel