TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Artikel veröffentlicht am , Hanno Böck
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten.
Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons/CC-BY-SA 3.0)

Neu ist diese Lücke wirklich nicht: Die ursprüngliche Idee für Angriffe mittels sogenannter Padding Oracles geht auf den Kryptographen Sergey Vaudenay zurück, der diese 2002 veröffentlicht hat. Doch auch 17 Jahre später findet man noch verwundbare Implementierungen, wie unabhängig voneinander ein Team der Universität Bochum und Craig Young von der Firma Tripwire aufzeigten.

Stellenmarkt
  1. Firmware-Entwickler / Device-Integration Software Engineer (m/w/d)
    PTW FREIBURG Physikalisch-Technische Werkstätten Dr. Pychlau GmbH, Freiburg im Breisgau
  2. IT-Administrator (m/w/d) für Kommunikations- und Kollaborationslösungen
    Beckhoff Automation GmbH & Co. KG, Verl
Detailsuche

In früheren Versionen des Internet-Verschlüsselungsstandards TLS war es üblich, Daten mit Hilfe des CBC-Verschlüsselungsmodus zu schützen. Bei CBC handelt es sich um eine sogenannte Blockverschlüsselung, was bedeutet, dass die Eingabedaten in Blöcken einer bestimmten Größe - üblicherweise 8 oder 16 Byte - verschlüsselt werden. Um die Daten auf die entsprechende Größe zu bringen, werden sie bei TLS zunächst mit einem Padding versehen, außerdem wird vor dem Padding ein Authentifizierungstag hinzugefügt, der die Daten vor Veränderung schützen soll.

Unterschiedliches Fehlerverhalten ist angreifbar

Diese beiden Schritte sorgen nun für das Problem, denn bei manipulierten Daten treten unterschiedliche Fehlertypen auf. Das Padding selbst kann fehlerhaft sein oder der Authentifizierungstag. Was Vaudenay herausfand: Wenn ein Angreifer diese beiden Fehler unterscheiden kann, kann er - genügend manipulierte Datenpakete vorausgesetzt - Daten entschlüsseln.

Varianten solcher Padding Oracles wurden immer wieder bei TLS aufgezeigt. 2013 wurde der Lucky-Thirteen-Angriff vorgestellt, bei dem winzige Zeitunterschiede bei den Antworten ausgenutzt wurden. Der POODLE-Angriff nutzte eine im Protokoll vorhandene Schwachstelle der Uraltversion SSL 3. Auch anderswo treten Padding-Oracle-Schwachstellen auf, so war etwa das bundesweite Rechtsanwaltsregister durch eine entsprechende Lücke angreifbar.

Golem Akademie
  1. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Ein Team der Universität Bochum hat jetzt systematisch Webseiten im Internet nach entsprechenden Schwachstellen gescannt. Über 90 verschiedene Verhaltensweisen, die zu Verwundbarkeiten führen, fanden sie dabei. Aber in vielen Fällen wissen die Forscher nicht, welche Software oder Hardware für die Schwachstelle verantwortlich ist. Bisher sind zwei Schwachstellen öffentlich bekannt: eine in OpenSSL und eine in Citrix-Loadbalancern. In beiden Fällen sind Updates verfügbar.

Die OpenSSL-Schwachstelle tritt nur unter sehr speziellen Bedingungen auf. Das Bochumer Team fand zahlreiche Server von Amazon, die davon betroffen waren und es gelang in Zusammenarbeit mit Colm MacCárthaigh von Amazon, die Ursache herauszufinden.

OpenSSL-Schwachstelle unter sehr ungewöhnlichen Bedingungen

Die Schwachstelle betrifft OpenSSL nur dann, wenn einige Dinge zusammenkommen. So sind nur Verschlüsselungsalgorithmen betroffen, die nicht die Hardwarebeschleunigung für AES auf modernen Prozessoren nutzen. Außerdem betrifft die Schwachstelle nur Applikationen, welche eine bestimmte OpenSSL-Funktion - SSL_shutdown() - zweimal aufrufen. Das ist genaugenommen eine fehlerhafte Verwendung der API, aber es sollte im Normalfall harmlos sein. Die aktuelle Version von OpenSSL - 1.1.1 - ist nicht betroffen, nur der ältere Versionszweig 1.0.2.

Das Bochumer Team schreibt, dass es noch mit weiteren Herstellern in Kontakt ist. Es ist also zu erwarten, dass in Kürze weitere Sicherheitsupdates veröffentlicht werden. Allerdings gelang es in vielen Fällen nicht, die verantwortlichen Produkte zu identifizieren. Es ist zwar davon auszugehen, dass es sich bei den über 90 verschiedenen Verwundbarkeiten teilweise um uralte Produkte handelt, die nie aktualisiert wurden, aber vermutlich gibt es weitere nicht identifizierte Schwachstellen.

Die Bochumer Forscher bieten Herstellern von TLS-Produkten an, ihre Produkte kostenlos auf diese Schwachstellen zu untersuchen. In Kürze wollen sie auch ein Testtool veröffentlichen.

Die Schwachstelle in Citrix-Loadbalancern wurde unabhängig davon ebenfalls von Craig Young von der Firma Tripwire entdeckt. Dabei handelt es sich um eine Neuauflage der POODLE-Schwachstelle. Young taufte diese daher Zombiepoodle, da er eigentlich dachte, dass dieses Problem inzwischen überall behoben sei. Eine weitere Schwachstelle nennt Young Goldendoodle, er nennt aber bisher keinen Hersteller. Auf der bevorstehenden Black-Hat-Konferenz in Singapur wird Young seine Resultate im Detail präsentieren.

Neu entdeckte Uralt-Schwachstellen sind in TLS keine Seltenheit

Wieder einmal zeigt sich, dass auch uralte TLS-Schwachstellen weiterhin ein Problem darstellen können, wenn niemand systematisch nach ihnen sucht. Zwar gab es immer wieder Forschungsarbeiten, die neue Varianten von Padding Oracles aufzeigten, aber dabei ging es meist um einzelne Produkte. Die gängigen Tests für TLS-Implementierungen hatten bisher keine oder unzureichende Tests für Padding Oracles.

Grundsätzlich gilt, dass sich der CBC-Modus in TLS nur sehr schwer korrekt implementieren lässt. In der aktuellen TLS-Version 1.3 ist er daher auch entfernt worden. Moderne Server und Browser nutzen in der Regel die authentifizierten Verschlüsselungsmodi AES-GCM oder Chacha20-Poly1305, bei denen solche Probleme nicht auftauchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Web3
Egal, irgendwas mit Blockchain

Im Buzzword-Bingo gibt es einen neuen Favoriten: Web3. Basierend auf Blockchain und Kryptotokens soll es endlich die Erwartungen an diese Techniken erfüllen.
Eine Analyse von Boris Mayer

Web3: Egal, irgendwas mit Blockchain
Artikel
  1. Minibook X: Chuwi packt 12 GByte Arbeitsspeicher in 550-Euro-Notebook
    Minibook X
    Chuwi packt 12 GByte Arbeitsspeicher in 550-Euro-Notebook

    Das Chuwi Minibook X ist wohl eines der günstigsten Notebooks mit 12 GByte Arbeitsspeicher auf dem Markt. Es ist zudem kompakt.

  2. Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
    Rocket 1
    3D-Druck vom Kopf auf die Füße gestellt

    Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
    Von Elias Dinter

  3. Samsung: Komplettes Android läuft auf Außendisplay des Z Flip 3
    Samsung
    Komplettes Android läuft auf Außendisplay des Z Flip 3

    Das Außendisplay von Samsungs kompaktem Falt-Smartphone ist klein - dennoch hat ein Entwickler eine Android-Oberfläche darauf zum Laufen bekommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /