Sicherheitslücken: XML-Verschlüsselung mit vielen Fallstricken

Zahlreiche Sicherheitslücken plagen die Standards zum Verschlüsseln und Signieren von XML-Daten. Obwohl die Lücken schon viele Jahre bekannt sind, finden sich nach wie vor viele verwundbare Produkte.

Artikel veröffentlicht am , Hanno Böck
Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen.
Ein Tool zum Testen zahlreicher Schwachstellen von XML-Verschlüsselungsimplementierungen. (Bild: Juraj Somorovsky)

Einen Überblick über Sicherheitsprobleme in XML-Standards hat Juraj Somorovsky von der Ruhr-Universität Bochum auf der Black Hat Amsterdam präsentiert. Mit einem automatisierten Tool hat Somorovsky zusammen mit seinen Kollegen diverse Server-Implementierungen auf bekannte Sicherheitslücken getestet.

Signature Wrapping

Stellenmarkt
  1. Test Analyst / Software Test Engineer (m/w/d)
    GK Software SE, Berlin, Chemnitz, Jena, Schöneck, Sankt Ingbert
  2. Onlineredakteur / Administrator (m/w/d) für den Bereich »Kommunikation«
    Bezirk Oberbayern Personalreferat, München
Detailsuche

Das W3C hat für die Verschlüsselung und für digitale Signaturen in XML-Dateien jeweils separate Standards. Bereits 2005 wurde ein Angriff auf die digitalen Signaturen in zahlreichen Implementierungen entdeckt, der als Signature Wrapping bezeichnet wird.

Der XML-Signatur-Standard sieht vor, dass man nicht nur ganze Dokumente signieren kann, sondern auch einzelne Teile eines Dokuments. Beim Signature-Wrapping-Angriff manipuliert ein Angreifer ein existierendes Dokument mit gültigen, signierten Daten. Die signierten Daten werden in einen Teil des Dokuments verschoben, in dem sie keinen Effekt mehr haben. So kann man beispielsweise die signierten Daten in den Header verschieben. Anschließend werden unsignierte Daten in das Dokument eingefügt.

Wie sich herausstellte, prüfen zahlreiche Implementierungen zunächst die Signatur und parsen anschließend die Daten unabhängig davon, ohne zu prüfen, ob die entsprechenden Daten auch von der Signatur erfasst wurden. Dadurch können von einem Angreifer komplett unsignierte Daten eingeschleust werden. Dass dieser Angriff praktische Relevanz hatte, konnte Somorovsky zusammen mit anderen Sicherheitsforschern 2011 zeigen, ein Angriff erlaubte die Kontrolle von Amazon-EC2-Instanzen fremder Nutzer.

Symmetrische und asymmetrische XML-Verschlüsselung unsicher

Golem Akademie
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Die Verschlüsselung in XML-Dateien hat gleich mehrere Probleme, die Somorovsky bereits 2011 zusammen mit anderen Sicherheitsforschern publiziert hatte. Die asymmetrische Verschlüsselung erfolgt nach dem alten Standard PKCS #1 1.5. Dieser ist anfällig für den sogenannten Bleichenbacher-Angriff, den der Kryptograph Daniel Bleichenbacher 1998 entdeckt hat. Der Angriff ist jedoch vergleichsweise aufwendig.

Noch kritischer ist ein Angriff auf die symmetrische Verschlüsselung. Der ursprüngliche XML-Encryption-Standard sah nur eine Verschlüsselung mit dem AES-CBC-Verfahren vor. Bei AES-CBC lassen sich von einem Angreifer einzelne Bits manipulieren. Da die verschlüsselten Daten gültige XML-Tags enthalten müssen, ist die Zahl der gültigen Zeichen auf den ASCII-Zeichensatz beschränkt. Somit kann ein Angreifer gezielt Bits manipulieren und anhand der Fehlermeldungen eines Servers, der mittels XML-Verschlüsselung kommuniziert, Rückschlüsse auf die Daten erhalten. Für die Entschlüsselung eines Bytes genügen hierfür 14 manipulierte Datenpakete.

Dieser Angriff hat große Ähnlichkeit mit den Padding-Oracle-Angriffen, die vor allem bei TLS immer wieder zu Problemen geführt haben. Grundsätzlich sollten Verschlüsselungsprotokolle nie Daten entschlüsseln, ohne deren Echtheit vorher zu prüfen.

Alte Angriffe, nach wie vor verwundbare Server

Mit einem automatisierten Tool hat Somorovsky zahlreiche Serveranwendungen, die die XML-Verschlüsselung nutzen, geprüft. Das Tool wurde auf Github veröffentlicht. Von fünf getesteten Produkten waren vier in der Standardkonfiguration für den CBC-Angriff verwundbar (Apache Axis2, Apache CXF, Axway Gateway, IBM Datapower). Lediglich Microsofts WCF-Server hatte gegen alle Angriffe wirksame Gegenmaßnahmen implementiert.

Vermeiden lässt sich dieser Angriff auf die CBC-Verschlüsselung, wenn eine Implementierung die verschlüsselten Daten nur innerhalb eines signierten Datenblocks akzeptiert. Wichtig ist hierbei, den oben erwähnten Signature-Wrapping-Angriff ebenfalls zu berücksichtigen und sicherzustellen, dass keine unsignierten Daten entschlüsselt werden. Auch die Angriffe auf die RSA-Verschlüsselung mit PKCS #1 1.5 lassen sich vermeiden.

Besser ist es allerdings, auf die alten Standards zu verzichten. Der XML-Encryption-Standard 1.1 erlaubt die XML-Verschlüsselung mit dem RSA-OAEP-Verfahren, das den Bleichenbacher-Angriff verhindert. Statt der unauthentifizierten CBC-Verschlüsselung steht außerdem das GCM-Verfahren (Galois/Counter-Mode) als Möglichkeit für symmetrische Verschlüsselungsoperationen zur Verfügung.

Apache CXF hat ein Update herausgegeben, das die Probleme behebt. Von IBM gab es als Reaktion Empfehlungen, wie man XML-Verschlüsselung sicher nutzt und die Konfiguration entsprechend anpasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /