Abo
  • Services:
Anzeige
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

Tavis Ormandy dürfte inzwischen in der Antivirenbranche gefürchtet sein. Der Mitarbeiter von Googles Project Zero findet regelmäßig gravierende Sicherheitslücken in Antivirensoftware und anderen IT-Sicherheitsprodukten. Ormandys Arbeit hat zuletzt auch dazu geführt, dass der Nutzen von Antivirensoftware zunehmend infrage gestellt wird.

Anzeige

Kaspersky bricht verschlüsselte Verbindungen auf

Nun hat es erneut Kaspersky getroffen. Die in Russland entwickelte Software schlampt bei der Zertifikatsprüfung - und wirft dabei ein Schlaglicht auf eine besondere Problematik: Antivirensoftware nutzt oft Man-in-the-Middle-Angriffe, um verschlüsselte Verbindungen mitlesen zu können.

Die Kaspersky-Software installiert dabei ein Zertifikat im Webbrowser des Nutzers, um den verschlüsselten Datenverkehr mitlesen zu können. Für jede besuchte HTTPS-Webseite wird dann automatisch ein temporäres Zertifikat generiert, damit der Browser weiterhin eine verschlüsselte Verbindung sieht. Im Hintergrund verbindet sich die Kaspersky-Software dann mit der eigentlichen Webseite.

Kaspersky nutzt dabei einen Cache, in dem bereits bekannte und geprüfte Zertifikate abgelegt werden. Das Problem dabei: Um zu prüfen, ob ein Zertifikat im Cache vorhanden ist, nutzt die Kaspersky-Software einen 32-Bit-Hash. Es ist damit trivial möglich, mittels eines Brute-Force-Angriffs ein anderes Zertifikat zu erzeugen, das denselben Hash wie ein bestehendes Zertifikat hat.

Ein Angreifer könnte nun für eine bekannte Domain, die bereits im Cache vorhanden ist, ein selbst signiertes Zertifikat erstellen, das lediglich denselben Hostnamen haben muss wie eine angegriffene Webseite.

Doch dieser Bug führt nicht nur dazu, dass ein Angreifer Verbindungen mitlesen kann. Er kann auch schlicht dazu führen, dass Verbindungen fehlschlagen, da bei einem 32-Bit-Hash Kollisionen so häufig sind, dass sie auch zufällig auftreten können. Beispielsweise kollidieren die Hashes einer Webseite der Stadt Manchester in Conneticut und von Hacker News. Wer beide Webseiten hintereinander besucht, erhält einen Zertifikatsfehler, da der Hostname nicht passt.

Einen Tipp für Webmaster, die nicht wollen, dass die Kaspersky-Software ihren Datenverkehr inspiziert, hat Ormandy auch noch: Verbindungen mit dem von Google entwickelten QUIC-Protokoll werden ignoriert. Daher sehen Nutzer im Chrome-Browser auf vielen Google-Webseiten auch ein korrektes Zertifikat.

Erinnerung an Superfish und Co.

Dass Software, die TLS-Verbindungen mittels Man-in-the-Middle-Angriffen aufbricht, problematisch ist, ist eigentlich bekannt. Im Frühjahr 2015 sorgte die Adware Superfish dafür, dass die TLS-Verbindungen von Lenovo-Laptops angegriffen werden konnten. Infolgedessen wurden zahlreiche weitere, ähnliche Programme mit vergleichbaren Sicherheitslücken gefunden. Auch in der Kaspersky-Software selbst wurde vom Autor dieses Artikels kurz darauf eine Sicherheitslücke gefunden.


eye home zur Startseite
HansUlrich 05. Jan 2017

"Einen Tipp für Webmaster [...]"

SoniX 04. Jan 2017

PS: Und natürlich scannt ein Virenscanner auch den Arbeitsspeicher. Der ist ja nicht nur...



Anzeige

Stellenmarkt
  1. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg
  2. SYNLAB Holding Deutschland GmbH, München, Augsburg
  3. Bundeskriminalamt, Wiesbaden
  4. Statistisches Bundesamt, Wiesbaden


Anzeige
Hardware-Angebote
  1. bei Caseking
  2. Gutscheincode PLUSBAY (maximaler Rabatt 50€, nur Paypal-Zahlung)
  3. 64,90€ + 3,99€ Versand

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Das Spiel ist beendet.

    kotap | 02:17

  2. Re: Ich wäre ja mal froh wenn Golem sein...

    Desertdelphin | 00:55

  3. Re: Besser als GTA

    Erny | 00:40

  4. Re: halb so schlimm

    Apfelbrot | 00:40

  5. Re: Nicht die 1 TFLOPS sind erstaunlich sondern...

    Vielfalt | 00:31


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel