Virtual Host Confusion

Ein weiteres Problem in TLS, welches das Team von Delignat-Lavaud ausgemacht hat, nennt er Virtual Host Confusion. Setzen verschiedene HTTPS-Hosts Zertifikate ein, die auch für andere Server gültig sind, kann ein Angreifer dies unter Umständen ausnutzen. Relevant ist hierbei, dass Webserver üblicherweise eine Default-Seite ausgeben, wenn man sich mit ihnen über einen unbekannten Hostnamen verbindet.

Stellenmarkt
  1. IT & Technik
    Bezirkskliniken Schwaben, alle Standorte
  2. Datenbankadministratorin / Datenbankadministrator (m/w/d)
    Landeswohlfahrtsverband Hessen (LWV), Kassel
Detailsuche

Als Beispiel zeigte Delignat-Lavaud einen Angriff auf Dropbox. Die normale Dropbox-Seite befindet sich unter www.dropbox.com. Unter dl-web.dropbox.com wiederum kann ein Nutzer eigene Daten ablegen - beispielsweise HTML-Dateien, die einen Cross-Site-Scripting-Angriff durchführen. Die Seite dl-web.dropbox.com hat ein Zertifikat, welches für *.dropbox.com ausgestellt ist, es ist also auch für www.dropbox.com gültig. Ein aktiver Angreifer kann nun durch einen aktiven Angriff dafür sorgen, dass sich der Nutzer, der www.dropbox.com aufruft, in Wirklichkeit mit dl-web.dropbox.com verbindet. Durch weitere Tricks kann der Angreifer dafür sorgen, dass dort die von ihm abgelegte HTML-Datei abgerufen wird. Sie wird dann im Kontext von www.dropbox.com ausgeführt und kann dazu genutzt werden, den Account des Opfers zu übernehmen.

Inzwischen hat Dropbox das Problem behoben. Eine Verbindung zu dl-web.dropbox.com ohne korrekten Hostnamen führt zu einer Fehlermeldung. Diese Strategie ist laut Delignat-Lavaud generell empfehlenswert. Webserver sollten bei unbekannten Hostnamen keine sinnvollen Daten ausgeben, sondern die Verbindung generell mit einem Fehler beantworten.

Noch gravierender ließ sich die Virtual Host Confusion beim Content-Delivery-Netzwerk Akamai ausnutzen. Akamai liefert beim Aufruf mit unbekanntem Hostnamen einen offenen Proxy. Damit lassen sich beliebige Webseiten von Dritten unter Akamai-Host aufrufen. Akamai liefert für zahlreiche populäre Webseiten Dateien mit gültigen Zertifikaten aus, unter anderem für LinkedIn, Twitter, Paypal, Bing, Apple und sogar die NSA. Delignat-Lavaud gelang es damit, eine von ihm kontrollierte Webseite per HTTPS im Namen der NSA auszuliefern.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Verschiedene weitere Varianten dieses Angriffs sind möglich. Ein weiteres ähnliches Problem hat Delignat-Lavaud im SPDY-Protokoll ausgemacht. SPDY ist ein von Google entwickeltes verbessertes HTTP-Protokoll. Wenn ein Nutzer per SPDY mehrere Verbindungen zum selben Server mit verschiedenen Hostnamen ausführt - diese aber dasselbe Zertifikat nutzen -, dann versucht SPDY, diese Verbindungen zu bündeln. Laut Delignat-Lavaud sind dadurch zahlreiche Sicherheitsannahmen, die für TLS gelten, für SPDY nicht mehr gültig. Details zu diesem Problem wollte er aber nicht nennen - denn es gibt bislang noch keine Updates für die betroffenen Browser.

Workarounds beheben Probleme nicht endgültig

Ähnlich wie bei Cookie Cutter basiert Virtual Host Confusion auf zahlreichen bekannten Problemen in TLS. Für Delignat-Lavaud ist das ein Zeichen dafür, dass Sicherheitsprobleme in der Vergangenheit oft unzureichend behoben wurden. Es wurden Workarounds implementiert, die zwar die bekannten Angriffe verhindern, aber die Grundprobleme nicht beheben. Auch der bereits bekannte Triple-Handshake-Angriff ist dafür ein Beispiel. Er nutzt Probleme der TLS-Renegotiation aus, die bereits 2009 zu einem Angriff geführt hatten.

Diese Beobachtung konnte man auch bei verschiedenen anderen TLS-Problemen in der Vergangenheit machen. So war die Lucky-Thirteen-Attacke im Jahr 2013 lediglich eine Neuauflage des Padding-Oracle-Angriffs von 2002. Bei der Verabschiedung des TLS-1.2-Standards war das Problem bekannt und ist sogar im Standard beschrieben. Man hielt es aber nicht für praktisch ausnutzbar.

TLS hat wohl noch einige Probleme. Die neuen Angriffe, die auf der Black Hat 2014 präsentiert wurden, dürften Ansätze für weitere Forschungsarbeiten bieten. Die nächsten TLS-Angriffe sind wohl nur eine Frage der Zeit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 TLS: Cookie Cutter und Virtual Host Confusion bedrohen HTTPS
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
Werden Computer so schlau wie Menschen?

Das Feld der künstlichen Intelligenz hat in den letzten zehn Jahren rasante Fortschritte gemacht. Wird der Computer den Menschen in puncto Intelligenz und Kreativität einholen? Und was dann?
Von Helmut Linde

Künstliche Intelligenz: Werden Computer so schlau wie Menschen?
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. Halbleiterfertigung: 20 Prozent Marktanteil kosten laut NXP 500 Milliarden Euro
    Halbleiterfertigung
    20 Prozent Marktanteil kosten laut NXP 500 Milliarden Euro

    Die EU-Kommission strebt für Europa 20 Prozent Anteil am Halbleitermarkt an. Da der weiter wächst, ist laut NXP viel mehr Geld nötig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /