TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Artikel veröffentlicht am , Hanno Böck
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten.
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons/CC-BY-SA 3.0)

Neu ist diese Lücke wirklich nicht: Die ursprüngliche Idee für Angriffe mittels sogenannter Padding Oracles geht auf den Kryptographen Sergey Vaudenay zurück, der diese 2002 veröffentlicht hat. Doch auch 17 Jahre später findet man noch verwundbare Implementierungen, wie unabhängig voneinander ein Team der Universität Bochum und Craig Young von der Firma Tripwire aufzeigten.

Stellenmarkt
  1. Sales Consultant (m/w/d)
    M-net Telekommunikations GmbH, München, Augsburg
  2. IT-Administrator (m/w/d) 2nd Level
    Tönnies Business Solutions GmbH, Rheda-Wiedenbrück
Detailsuche

In früheren Versionen des Internet-Verschlüsselungsstandards TLS war es üblich, Daten mit Hilfe des CBC-Verschlüsselungsmodus zu schützen. Bei CBC handelt es sich um eine sogenannte Blockverschlüsselung, was bedeutet, dass die Eingabedaten in Blöcken einer bestimmten Größe - üblicherweise 8 oder 16 Byte - verschlüsselt werden. Um die Daten auf die entsprechende Größe zu bringen, werden sie bei TLS zunächst mit einem Padding versehen, außerdem wird vor dem Padding ein Authentifizierungstag hinzugefügt, der die Daten vor Veränderung schützen soll.

Unterschiedliches Fehlerverhalten ist angreifbar

Diese beiden Schritte sorgen nun für das Problem, denn bei manipulierten Daten treten unterschiedliche Fehlertypen auf. Das Padding selbst kann fehlerhaft sein oder der Authentifizierungstag. Was Vaudenay herausfand: Wenn ein Angreifer diese beiden Fehler unterscheiden kann, kann er - genügend manipulierte Datenpakete vorausgesetzt - Daten entschlüsseln.

Varianten solcher Padding Oracles wurden immer wieder bei TLS aufgezeigt. 2013 wurde der Lucky-Thirteen-Angriff vorgestellt, bei dem winzige Zeitunterschiede bei den Antworten ausgenutzt wurden. Der POODLE-Angriff nutzte eine im Protokoll vorhandene Schwachstelle der Uraltversion SSL 3. Auch anderswo treten Padding-Oracle-Schwachstellen auf, so war etwa das bundesweite Rechtsanwaltsregister durch eine entsprechende Lücke angreifbar.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Ein Team der Universität Bochum hat jetzt systematisch Webseiten im Internet nach entsprechenden Schwachstellen gescannt. Über 90 verschiedene Verhaltensweisen, die zu Verwundbarkeiten führen, fanden sie dabei. Aber in vielen Fällen wissen die Forscher nicht, welche Software oder Hardware für die Schwachstelle verantwortlich ist. Bisher sind zwei Schwachstellen öffentlich bekannt: eine in OpenSSL und eine in Citrix-Loadbalancern. In beiden Fällen sind Updates verfügbar.

Die OpenSSL-Schwachstelle tritt nur unter sehr speziellen Bedingungen auf. Das Bochumer Team fand zahlreiche Server von Amazon, die davon betroffen waren und es gelang in Zusammenarbeit mit Colm MacCárthaigh von Amazon, die Ursache herauszufinden.

OpenSSL-Schwachstelle unter sehr ungewöhnlichen Bedingungen

Die Schwachstelle betrifft OpenSSL nur dann, wenn einige Dinge zusammenkommen. So sind nur Verschlüsselungsalgorithmen betroffen, die nicht die Hardwarebeschleunigung für AES auf modernen Prozessoren nutzen. Außerdem betrifft die Schwachstelle nur Applikationen, welche eine bestimmte OpenSSL-Funktion - SSL_shutdown() - zweimal aufrufen. Das ist genaugenommen eine fehlerhafte Verwendung der API, aber es sollte im Normalfall harmlos sein. Die aktuelle Version von OpenSSL - 1.1.1 - ist nicht betroffen, nur der ältere Versionszweig 1.0.2.

Das Bochumer Team schreibt, dass es noch mit weiteren Herstellern in Kontakt ist. Es ist also zu erwarten, dass in Kürze weitere Sicherheitsupdates veröffentlicht werden. Allerdings gelang es in vielen Fällen nicht, die verantwortlichen Produkte zu identifizieren. Es ist zwar davon auszugehen, dass es sich bei den über 90 verschiedenen Verwundbarkeiten teilweise um uralte Produkte handelt, die nie aktualisiert wurden, aber vermutlich gibt es weitere nicht identifizierte Schwachstellen.

Die Bochumer Forscher bieten Herstellern von TLS-Produkten an, ihre Produkte kostenlos auf diese Schwachstellen zu untersuchen. In Kürze wollen sie auch ein Testtool veröffentlichen.

Die Schwachstelle in Citrix-Loadbalancern wurde unabhängig davon ebenfalls von Craig Young von der Firma Tripwire entdeckt. Dabei handelt es sich um eine Neuauflage der POODLE-Schwachstelle. Young taufte diese daher Zombiepoodle, da er eigentlich dachte, dass dieses Problem inzwischen überall behoben sei. Eine weitere Schwachstelle nennt Young Goldendoodle, er nennt aber bisher keinen Hersteller. Auf der bevorstehenden Black-Hat-Konferenz in Singapur wird Young seine Resultate im Detail präsentieren.

Neu entdeckte Uralt-Schwachstellen sind in TLS keine Seltenheit

Wieder einmal zeigt sich, dass auch uralte TLS-Schwachstellen weiterhin ein Problem darstellen können, wenn niemand systematisch nach ihnen sucht. Zwar gab es immer wieder Forschungsarbeiten, die neue Varianten von Padding Oracles aufzeigten, aber dabei ging es meist um einzelne Produkte. Die gängigen Tests für TLS-Implementierungen hatten bisher keine oder unzureichende Tests für Padding Oracles.

Grundsätzlich gilt, dass sich der CBC-Modus in TLS nur sehr schwer korrekt implementieren lässt. In der aktuellen TLS-Version 1.3 ist er daher auch entfernt worden. Moderne Server und Browser nutzen in der Regel die authentifizierten Verschlüsselungsmodi AES-GCM oder Chacha20-Poly1305, bei denen solche Probleme nicht auftauchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /