TCP-Exploit: Internetstandard ermöglicht Seitenkanalangriffe

Mit einem falsch konfigurierten Internetstandard in Linux lassen sich unverschlüsselte Internetverbindungen manipulieren. Auch das Tor-Netzwerk ist von dem Fehler betroffen.

Artikel veröffentlicht am ,
Mit einer Flut von ACK-Paketen haben Sicherheitsforscher Internetverbindungen manipuliert.
Mit einer Flut von ACK-Paketen haben Sicherheitsforscher Internetverbindungen manipuliert. (Bild: Yue Cao/Screenshot: Golem.de)

Sicherheitsforscher haben ein Verfahren beschrieben, mit dem Internetverbindungen aus der Ferne manipuliert werden können. Den Wissenschaftlern gelang es, mit einer Flut von Bestätigungspaketen (ACK) eine bestehende Verbindung zwischen Server und Client zu kappen und dem Client anschließend manipulierte Datenpakete zu senden. Der Schwachstelle zugrunde liegt ausgerechnet der Internetstandard RFC 5961, der einen anderen Angriff mittels ACK-Pakete verhindern soll.

Stellenmarkt
  1. Specialist eCommerce Quality Assurance & Projects (m/w/d)
    SSI Schäfer Shop GmbH, Betzdorf
  2. Ingenieur (m/w/d) Elektrotechnik / Nachrichtentechnik
    Amprion GmbH, Pulheim
Detailsuche

Für ihren Angriff benötigen die Sicherheitsforscher der University of California in Riverside die IP-Adresse und die Port-Nummer sowohl des Servers als auch des Clients. Anschließend werden an Server und Client präparierte Pakete gesendet. Nach RFC 5961 dürfen nur 100 ACK-Pakete pro Sekunde versendet werden. Das soll unter anderem verhindern, dass Angreifer die Sequenznummern erraten können, die zur Sicherheit willkürlich gesetzt werden. Ist die Begrenzung nach RFC 5961 beim Server erreicht, versendet er keine ACK-Pakete mehr. Die manipulierten Pakete suggerieren dem Client jedoch, dass die Verbindung weiterhin bestehe. So können die Angreifer mit weiteren ACK-Paketen in Ruhe die Sequenznummern ermitteln. Das gelang den Sicherheitsforschern zufolge in nur Zehntelsekunden.

Ist eine Verbindung unverschlüsselt, können dem Client anschließend manipulierte Datenpakete untergeschoben werden. Die Sicherheitsforscher injizierten beispielsweise Javascript-Code, der eine Passworteingabe forderte. Dazu muss es sich um eine Verbindung handeln, die möglichst lange besteht, etwa beim Streamen von Videos oder zu einer Nachrichtenseite. Die Sicherheitsforscher unter der Leitung von Yue Cao demonstrierten ihren Angriff in einer Verbindung mit der Webseite USA Today auf der Sicherheitskonferenz Usenix in Texas.

Schwachstelle im Tor-Netzwerk

Auch bei verschlüsselten Verbindungen führt der Angriff dazu, dass die Verbindung zwischen Client und Server beendet wird. Im Tor-Netzwerk kann so einem Client solange die Verbindung zu legitimen Relay-Servern gekappt werden, bis dieser bei einem manipulierten Relay des Angreifers landet.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Der beschriebene Angriff kann lediglich auf Verbindungen unter Linux ausgeführt werden. Seit dem Linux-Kernel 3.6 wird dort RFC 5961 umgesetzt. Windows-, FreeBSD- und MacOS-Rechner sind nicht betroffen. Die Sicherheitsforscher haben die Kernel-Entwickler jedoch bereits informiert. Seit Linux 4.7 gibt es Patches, die unter anderem die Grenze von 100 ACK-Pakete auf 1.000 heraufsetzen. Alternativ kann der Wert net.ipv4.tcp_challenge_ack_limit = 999999999 in der Konfigurationsdatei /etc/sysctl gesetzt werden. Mit dem Befehl sysctl -p werden die Änderungen übernommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnologie
Solid Power ist näher an brauchbaren Akkus als Quantumscape

Lückenhafte technische Daten, schräge Kostenvergleiche, verschwiegene Nachteile - aber Solid Power ist immer noch ehrlicher als Quantumscape.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnologie: Solid Power ist näher an brauchbaren Akkus als Quantumscape
Artikel
  1. Impfzentren: Online-Portal für digitalen Impfnachweis gestartet
    Impfzentren
    Online-Portal für digitalen Impfnachweis gestartet

    In Hamburg kann man sich selbst einen digitalen Impfnachweis ausstellen. Bei den Apotheken gab es am Dienstag offenbar stundenlange Ausfälle.

  2. Screenshots zeigen neue Oberfläche: Windows 11 geleakt
    Screenshots zeigen neue Oberfläche
    Windows 11 geleakt

    Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekanntgeworden.

  3. Dommermuth: 1&1 AG will mit Aufbau des Mobilfunknetzes beginnen
    Dommermuth
    1&1 AG will mit Aufbau des Mobilfunknetzes beginnen

    Es soll tatsächlich losgehen. Die 1&1 AG, ehemals 1&1 Drillisch, könnte im nächsten Monat erste Antennen errichten.

LaggAt 18. Aug 2016

... am client ... gecheckt. Jup, wer lesen kann ist wiedermal klar im Vorteil. :)

Dumpfbacke 12. Aug 2016

... Lass uns tanzen, Douff und dähmlich. mfg

Anonymer Nutzer 12. Aug 2016

Traurig ist doch, das die Linux Jungs wieder mal die einzigen sind die sich an einen...

hepisec 12. Aug 2016

BTW: Research was sponsored by the Army Research Laboratory

hepisec 12. Aug 2016

Da diese "Sicherheitslücke" nicht mal ein Logo und eine Webseite hat, alles halb so...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI MAG274R2 27" FHD 144Hz 269€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Apple iPads (u. a. iPad Pro 12,9" 256GB 909€) • Razer Naga Pro 119,99€ • Alternate (u. a. NZXT Kraken WaKü 109,90€) [Werbung]
    •  /