Verschlüsselung: Poodle gefährdet Verbindungen mit altem SSL

Eine Lücke in einem uralten SSL-Protokoll gefährdet die Sicherheit von Netzverbindungen. Poodle ist jedoch auch mit modernen Browsern ausnutzbar. Dafür sorgt ein Workaround, mit dem sich alte Protokollversionen erzwingen lassen.

Artikel veröffentlicht am , Hanno Böck
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly, Wikimedia Commons, CC by 2.0)

Bereits vor einigen Tagen gab es erste Gerüchte, dass eine schwere Lücke im alten SSL-Protokoll Version 3 (SSLv3) verkündet werde. Nun wurden die Details bekannt. Die Lücke, die von ihren Entdeckern Poodle genannt wird, ist die Neuauflage eines eigentlich bekannten Problems, dem sogenannten Padding Oracle. Poodle steht für Padding Oracle On Downgraded Legacy Encryption und wurde von Google-Entwicklern entdeckt. Mit Heartbleed vergleichbar ist Poodle von den Auswirkungen nicht, trotzdem ist es eine ernstzunehmende Sicherheitslücke im SSL-Protokoll.

Probleme im CBC-Modus

Stellenmarkt
  1. Head of IT Project Services (m/f/d) EMEA
    Fresenius Medical Care, Bad Homburg vor der Höhe
  2. Software Entwickler (w/m/d)
    softEnergy GmbH, Rostock
Detailsuche

Das Problem ist wie schon bei vielen früheren Sicherheitslücken im SSL-Protokoll die Verschlüsselung im CBC-Modus und das dazugehörige Padding. Das Padding in der alten SSL-Version hat allerdings eine Besonderheit: Es kann beliebigen Inhalt haben, was sich mit einigen Tricks für den Poodle-Angriff ausnutzen lässt. Mit Hilfe von Javascript-Code, der in eine beliebige HTTP-Verbindung eingefügt wird, kann ein Angreifer eine Man-in-the-Middle-Attacke durchführen. Damit kann der Angreifer an geheime Informationen gelangen, die über mehrere Verbindungen vorhanden sind, beispielsweise HTTP-Session-Cookies, die nur verschlüsselt übertragen werden. Eine Beschreibung der technischen Details hat der Kryptograph Matthew Green in seinem Blog veröffentlicht.

Bereits 2001 wurde eine ähnliche Attacke gegen den CBC-Modus von SSL von Bodo Möller beschrieben. Möller, der inzwischen bei Google arbeitet, war auch diesmal an der Entdeckung der Lücke beteiligt. Die Attacke verwendet dabei weiterhin Methoden, die beim Beast-Angriff bereits vorgestellt wurden.

SSL Version 3 ist eigentlich uralt. Es handelt sich noch um das ursprünglich von Netscape entwickelte SSL-Protokoll. Es wurde bereits 1999 durch TLS 1.0 abgelöst. Verbindungen mit der alten SSL-Version sind selten, aber eine Besonderheit von Webbrowsern macht Poodle dennoch zu einer kritischen Sicherheitslücke: Fast alle aktuellen Browser versuchen bei fehlgeschlagenen TLS-Verbindungen, sich erneut mit einer älteren Protokollversion zu verbinden. Eigentlich sollte das nicht nötig sein, denn korrekt arbeitende TLS-Implementierungen können dem Browser nach dem Verbindungsaufbau signalisieren, dass sie nur eine ältere Protokollversion unterstützen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Doch manche fehlerhaften Implementierungen sind dazu nicht in der Lage und beantworten Verbindungsversuche mit neueren TLS-Versionen überhaupt nicht. Deswegen gibt es Workarounds in Browsern, die in dem Fall Verbindungen mit älteren Protokollversionen versuchen. Genau dort liegt das Problem: Ein Angreifer kann sämtliche Verbindungen mit TLS verhindern und somit eine Verbindung mit dem alten SSL-Protokoll erzwingen.

Während es bei früheren SSL-Protokoll-Problemen wie Beast oder Lucky Thirteen praktikable Workarounds gab, ist das offenbar bei Poodle nicht der Fall. SSL 3 unterstützt neben den CBC-Verschlüsselungsmodi nur RC4, was aufgrund anderer Sicherheitslücken ebenfalls keine Alternative darstellt.

SSL 3 deaktivieren

Die einfachste und vermutlich in den meisten Fällen empfehlenswerte Lösung ist die Abschaltung von SSL Version 3. Das kann sowohl auf Servern als auch in Clientanwendungen passieren. Wenn entweder der Client oder der Server die Verbindung mit der alten SSL-Version verweigern, ist man vor Poodle geschützt. Kompatibilitätsprobleme gibt es damit kaum. Server, die nur mit der alten SSL-Version erreichbar sind, gibt es nahezu keine.

Wird serverseitig SSL Version 3 deaktiviert, werden Nutzer einiger alter Browser ausgesperrt, beispielsweise des Internet Explorers Version 6 unter Windows XP. Aber selbst Windows XP unterstützt das neuere TLS 1.0, wenn Updates eingespielt werden. In vielen Empfehlungen für sichere TLS-Konfigurationen wird die Abschaltung von SSL Version 3 schon länger empfohlen.

Protokoll-Downgrades mit SCSV verhindern

Eine Möglichkeit, die Protokoll-Downgrades der Browser zu verhindern, ist die bisher nur als Entwurf vorhandene TLS-Erweiterung SCSV. Dabei sendet der Client dem Server in der Liste der Ciphersuiten ein Signal, dass er eine bestimmte TLS-Version unterstütze. Der Server kann anschließend die Verbindung mit niedrigeren Protokollversionen verweigern. Die SCSV-Erweiterung wird bislang allerdings nur von einzelnen Browsern unterstützt, auf Servern ist sie kaum verbreitet. Die Einführung von SCSV wäre auch ohne SSL 3 noch sinnvoll, weil damit auch Downgrades beispielsweise von TLS 1.2 auf TLS 1.0 erzwungen werden können.

Google plant offenbar, in Chrome mittelfristig SSL 3 komplett zu deaktivieren. Vorerst wurde laut Chrome-Entwickler Adam Langley der Workaround für ältere Protokollversionen so geändert, dass ein Downgrade auf SSL 3 nicht mehr möglich ist. Eine Verbindung mittels SSL Version 3 ist somit nicht mehr durch einen Angreifer erzwingbar, sie wird nur noch bei Servern aufgebaut, die ausschließlich diese alte SSL-Version unterstützen. Firefox wird mit der kommenden Version 34 das alte SSL-Protokoll deaktivieren.

Nutzer, die die alte SSL-Version schon jetzt abschalten möchten, können dies manuell tun. In Chrome und Chromium geht dies auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1. In Firefox kann man unter about:config den Wert security.tls.version.min auf 1 setzen.

Gerüchteküche vorab

Bereits am Sonntag hatte es bei Twitter erste Diskussionen über eine mögliche Sicherheitslücke in SSL Version 3 gegeben. Zunächst war davon die Rede, dass Microsoft die Lücke entdeckt habe - offenbar eine Falschinformation. Da sich SSL 3 nur geringfügig von TLS 1.0 unterscheidet, suchten bereits einige Kryptographie-Experten nach dem möglichen Problem. Auf der Webseite Stackexchange gab es Spekulationen, die der eigentlichen Lücke offenbar ziemlich nahe kamen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luca-App
Wo ist das BSI, wenn man es mal braucht?

Während das BSI die Corona-Warn-App intensiv prüft, müssen das bei der Luca-App freiwillige Sicherheitsexperten übernehmen. Warum ist das so?
Eine Analyse von Friedhelm Greis und Moritz Tremmel

Luca-App: Wo ist das BSI, wenn man es mal braucht?
Artikel
  1. Prophete E-Bike Cargo: Aldi bringt elektrisches Lastenfahrrad mit Anschiebehilfe
    Prophete E-Bike Cargo
    Aldi bringt elektrisches Lastenfahrrad mit Anschiebehilfe

    Aldi hat das Prophete Cargo E-Bike ein Lastenfahrrad im Angebot. Damit können Kinder, Tiere und Einkäufe umweltfreundlich transportiert werden.

  2. Amazon: Fire-TV-Apps sollen Touch-Steuerung erhalten
    Amazon
    Fire-TV-Apps sollen Touch-Steuerung erhalten

    Amazon ruft Anbieter auf, ihre Apps für Fire-TV-Geräte mit einer Touch-Steuerung zu versehen. Das ermöglicht neuartige Geräte.

  3. Der Nachfolger von Windows 10: Windows 11 ist da
    Der Nachfolger von Windows 10
    Windows 11 ist da

    Nun ist es offiziell: Microsoft hat Windows 11 angekündigt. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

v2nc 26. Jun 2015

Wer benutzt Internet Explorer ?

FreiGeistler 15. Okt 2014

Super Danke! :D


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate: Ryzen 7 5800 X 359€, Ryzen 5 5600 X 249€ • Gigabyte Z490M 119,90€ • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /