Abo
  • Services:
Anzeige
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte.
Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck)

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

Tavis Ormandy dürfte inzwischen in der Antivirenbranche gefürchtet sein. Der Mitarbeiter von Googles Project Zero findet regelmäßig gravierende Sicherheitslücken in Antivirensoftware und anderen IT-Sicherheitsprodukten. Ormandys Arbeit hat zuletzt auch dazu geführt, dass der Nutzen von Antivirensoftware zunehmend infrage gestellt wird.

Anzeige

Kaspersky bricht verschlüsselte Verbindungen auf

Nun hat es erneut Kaspersky getroffen. Die in Russland entwickelte Software schlampt bei der Zertifikatsprüfung - und wirft dabei ein Schlaglicht auf eine besondere Problematik: Antivirensoftware nutzt oft Man-in-the-Middle-Angriffe, um verschlüsselte Verbindungen mitlesen zu können.

Die Kaspersky-Software installiert dabei ein Zertifikat im Webbrowser des Nutzers, um den verschlüsselten Datenverkehr mitlesen zu können. Für jede besuchte HTTPS-Webseite wird dann automatisch ein temporäres Zertifikat generiert, damit der Browser weiterhin eine verschlüsselte Verbindung sieht. Im Hintergrund verbindet sich die Kaspersky-Software dann mit der eigentlichen Webseite.

Kaspersky nutzt dabei einen Cache, in dem bereits bekannte und geprüfte Zertifikate abgelegt werden. Das Problem dabei: Um zu prüfen, ob ein Zertifikat im Cache vorhanden ist, nutzt die Kaspersky-Software einen 32-Bit-Hash. Es ist damit trivial möglich, mittels eines Brute-Force-Angriffs ein anderes Zertifikat zu erzeugen, das denselben Hash wie ein bestehendes Zertifikat hat.

Ein Angreifer könnte nun für eine bekannte Domain, die bereits im Cache vorhanden ist, ein selbst signiertes Zertifikat erstellen, das lediglich denselben Hostnamen haben muss wie eine angegriffene Webseite.

Doch dieser Bug führt nicht nur dazu, dass ein Angreifer Verbindungen mitlesen kann. Er kann auch schlicht dazu führen, dass Verbindungen fehlschlagen, da bei einem 32-Bit-Hash Kollisionen so häufig sind, dass sie auch zufällig auftreten können. Beispielsweise kollidieren die Hashes einer Webseite der Stadt Manchester in Conneticut und von Hacker News. Wer beide Webseiten hintereinander besucht, erhält einen Zertifikatsfehler, da der Hostname nicht passt.

Einen Tipp für Webmaster, die nicht wollen, dass die Kaspersky-Software ihren Datenverkehr inspiziert, hat Ormandy auch noch: Verbindungen mit dem von Google entwickelten QUIC-Protokoll werden ignoriert. Daher sehen Nutzer im Chrome-Browser auf vielen Google-Webseiten auch ein korrektes Zertifikat.

Erinnerung an Superfish und Co.

Dass Software, die TLS-Verbindungen mittels Man-in-the-Middle-Angriffen aufbricht, problematisch ist, ist eigentlich bekannt. Im Frühjahr 2015 sorgte die Adware Superfish dafür, dass die TLS-Verbindungen von Lenovo-Laptops angegriffen werden konnten. Infolgedessen wurden zahlreiche weitere, ähnliche Programme mit vergleichbaren Sicherheitslücken gefunden. Auch in der Kaspersky-Software selbst wurde vom Autor dieses Artikels kurz darauf eine Sicherheitslücke gefunden.


eye home zur Startseite
HansUlrich 05. Jan 2017

"Einen Tipp für Webmaster [...]"

SoniX 04. Jan 2017

PS: Und natürlich scannt ein Virenscanner auch den Arbeitsspeicher. Der ist ja nicht nur...



Anzeige

Stellenmarkt
  1. Daimler AG, Böblingen
  2. über human lead GmbH, Norddeutschland
  3. ENERCON GmbH, Aurich
  4. SITA Airport IT GmbH, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. (u. a. Spaceballs, Training Day, Der längste Tag)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. HP Elite Slice im Kurztest

    So müsste ein Mac Mini aussehen!

  2. Neuralink

    Elon Musk will Gehirn-Computer-Schnittstellen entwickeln

  3. Neue Rotorblätter

    Hubschrauber könnten bald viel leiser fliegen

  4. Microsofts Project Torino

    Programmieren für sehbehinderte Kinder

  5. Activision

    Mehr als Hinweise auf Destiny 2 und neues Call of Duty 14

  6. Amazon Go

    Kassenloser Supermarkt scheitert im Praxistest

  7. WLAN-Störerhaftung

    Wie gefährlich sind die Netzsperrenpläne der Regierung?

  8. Pannen-Smartphone

    Samsung will Galaxy Note 7 zurückbringen

  9. WatchOS 3.2 und TVOS 10.2

    Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen

  10. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
In eigener Sache: Golem.de sucht Marketing Manager (w/m)
In eigener Sache
Golem.de sucht Marketing Manager (w/m)
  1. In eigener Sache Golem.de geht auf Jobmessen
  2. In eigener Sache Golem.de kommt jetzt sicher ins Haus - per HTTPS
  3. In eigener Sache Unterstützung für die Schlussredaktion gesucht!

Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

  1. Re: Fehlerhaftes Denken, weil im letzten Jahrhundert

    Klausens | 11:54

  2. "Phoenix aus der Asche"

    /usr/ | 11:54

  3. Re: Daß das jetzt nicht funktioniert heißt nicht...

    T-oo-l | 11:54

  4. Re: aus Sicht des Umweltschutzes sehr zu begrüßen

    Carlo Escobar | 11:53

  5. Re: Warum nicht einfach den Warekorb identizieren

    Tantalus | 11:49


  1. 12:02

  2. 11:51

  3. 11:46

  4. 11:35

  5. 10:15

  6. 09:45

  7. 09:30

  8. 08:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel