Abo
  • IT-Karriere:

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Artikel veröffentlicht am , Hanno Böck
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten.
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons/CC-BY-SA 3.0)

Neu ist diese Lücke wirklich nicht: Die ursprüngliche Idee für Angriffe mittels sogenannter Padding Oracles geht auf den Kryptographen Sergey Vaudenay zurück, der diese 2002 veröffentlicht hat. Doch auch 17 Jahre später findet man noch verwundbare Implementierungen, wie unabhängig voneinander ein Team der Universität Bochum und Craig Young von der Firma Tripwire aufzeigten.

Stellenmarkt
  1. Systemhaus Scheuschner GmbH, Hannover
  2. DRÄXLMAIER Group, Vilsbiburg bei Landshut

In früheren Versionen des Internet-Verschlüsselungsstandards TLS war es üblich, Daten mit Hilfe des CBC-Verschlüsselungsmodus zu schützen. Bei CBC handelt es sich um eine sogenannte Blockverschlüsselung, was bedeutet, dass die Eingabedaten in Blöcken einer bestimmten Größe - üblicherweise 8 oder 16 Byte - verschlüsselt werden. Um die Daten auf die entsprechende Größe zu bringen, werden sie bei TLS zunächst mit einem Padding versehen, außerdem wird vor dem Padding ein Authentifizierungstag hinzugefügt, der die Daten vor Veränderung schützen soll.

Unterschiedliches Fehlerverhalten ist angreifbar

Diese beiden Schritte sorgen nun für das Problem, denn bei manipulierten Daten treten unterschiedliche Fehlertypen auf. Das Padding selbst kann fehlerhaft sein oder der Authentifizierungstag. Was Vaudenay herausfand: Wenn ein Angreifer diese beiden Fehler unterscheiden kann, kann er - genügend manipulierte Datenpakete vorausgesetzt - Daten entschlüsseln.

Varianten solcher Padding Oracles wurden immer wieder bei TLS aufgezeigt. 2013 wurde der Lucky-Thirteen-Angriff vorgestellt, bei dem winzige Zeitunterschiede bei den Antworten ausgenutzt wurden. Der POODLE-Angriff nutzte eine im Protokoll vorhandene Schwachstelle der Uraltversion SSL 3. Auch anderswo treten Padding-Oracle-Schwachstellen auf, so war etwa das bundesweite Rechtsanwaltsregister durch eine entsprechende Lücke angreifbar.

Ein Team der Universität Bochum hat jetzt systematisch Webseiten im Internet nach entsprechenden Schwachstellen gescannt. Über 90 verschiedene Verhaltensweisen, die zu Verwundbarkeiten führen, fanden sie dabei. Aber in vielen Fällen wissen die Forscher nicht, welche Software oder Hardware für die Schwachstelle verantwortlich ist. Bisher sind zwei Schwachstellen öffentlich bekannt: eine in OpenSSL und eine in Citrix-Loadbalancern. In beiden Fällen sind Updates verfügbar.

Die OpenSSL-Schwachstelle tritt nur unter sehr speziellen Bedingungen auf. Das Bochumer Team fand zahlreiche Server von Amazon, die davon betroffen waren und es gelang in Zusammenarbeit mit Colm MacCárthaigh von Amazon, die Ursache herauszufinden.

OpenSSL-Schwachstelle unter sehr ungewöhnlichen Bedingungen

Die Schwachstelle betrifft OpenSSL nur dann, wenn einige Dinge zusammenkommen. So sind nur Verschlüsselungsalgorithmen betroffen, die nicht die Hardwarebeschleunigung für AES auf modernen Prozessoren nutzen. Außerdem betrifft die Schwachstelle nur Applikationen, welche eine bestimmte OpenSSL-Funktion - SSL_shutdown() - zweimal aufrufen. Das ist genaugenommen eine fehlerhafte Verwendung der API, aber es sollte im Normalfall harmlos sein. Die aktuelle Version von OpenSSL - 1.1.1 - ist nicht betroffen, nur der ältere Versionszweig 1.0.2.

Das Bochumer Team schreibt, dass es noch mit weiteren Herstellern in Kontakt ist. Es ist also zu erwarten, dass in Kürze weitere Sicherheitsupdates veröffentlicht werden. Allerdings gelang es in vielen Fällen nicht, die verantwortlichen Produkte zu identifizieren. Es ist zwar davon auszugehen, dass es sich bei den über 90 verschiedenen Verwundbarkeiten teilweise um uralte Produkte handelt, die nie aktualisiert wurden, aber vermutlich gibt es weitere nicht identifizierte Schwachstellen.

Die Bochumer Forscher bieten Herstellern von TLS-Produkten an, ihre Produkte kostenlos auf diese Schwachstellen zu untersuchen. In Kürze wollen sie auch ein Testtool veröffentlichen.

Die Schwachstelle in Citrix-Loadbalancern wurde unabhängig davon ebenfalls von Craig Young von der Firma Tripwire entdeckt. Dabei handelt es sich um eine Neuauflage der POODLE-Schwachstelle. Young taufte diese daher Zombiepoodle, da er eigentlich dachte, dass dieses Problem inzwischen überall behoben sei. Eine weitere Schwachstelle nennt Young Goldendoodle, er nennt aber bisher keinen Hersteller. Auf der bevorstehenden Black-Hat-Konferenz in Singapur wird Young seine Resultate im Detail präsentieren.

Neu entdeckte Uralt-Schwachstellen sind in TLS keine Seltenheit

Wieder einmal zeigt sich, dass auch uralte TLS-Schwachstellen weiterhin ein Problem darstellen können, wenn niemand systematisch nach ihnen sucht. Zwar gab es immer wieder Forschungsarbeiten, die neue Varianten von Padding Oracles aufzeigten, aber dabei ging es meist um einzelne Produkte. Die gängigen Tests für TLS-Implementierungen hatten bisher keine oder unzureichende Tests für Padding Oracles.

Grundsätzlich gilt, dass sich der CBC-Modus in TLS nur sehr schwer korrekt implementieren lässt. In der aktuellen TLS-Version 1.3 ist er daher auch entfernt worden. Moderne Server und Browser nutzen in der Regel die authentifizierten Verschlüsselungsmodi AES-GCM oder Chacha20-Poly1305, bei denen solche Probleme nicht auftauchen.



Anzeige
Spiele-Angebote
  1. 29,99€
  2. 4,99€
  3. 29,99€
  4. 15,99€

Folgen Sie uns
       


Boses Noise Cancelling Headphones 700 im Vergleich

Wir haben die ANC-Leistung von drei ANC-Kopfhörern miteinander verglichen. Wir ließen Boses neue Noise Cancelling Headphones 700 gegen Boses Quiet Comfort 35 II und Sonys WH-1000XM3 antreten.

Boses Noise Cancelling Headphones 700 im Vergleich Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

    •  /