Preauth verhindert Verschlüsselung durch STARTTLS

Das Problem hierbei: Der Standard sagt auch, dass STARTTLS nur vor der Authentifizierung genutzt werden darf. Sprich: Wenn ein Server - oder eben ein Netzwerkangreifer, denn an dieser Stelle ist die Verbindung nicht geschützt - eine Preauth-Antwort schickt, kann der Client die Verbindung nicht mehr mit TLS verschlüsseln.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) für das Referat IT-Infrastruktur
    DAAD - Deutscher Akademischer Austauschdienst e.V., Bonn
  2. Junior Software Developer (m/w/d) Ruby on Rails
    Sektor N GmbH, Hamburg, Heidelberg (Home-Office möglich)
Detailsuche

Besonders kritisch ist dieses Problem im Zusammenhang mit weiteren IMAP-Features, die eine Weiterleitung durch den Server auf einen anderen Server ermöglichen. Ein Angreifer kann hier mittels der Preauth-Antwort verhindern, dass die Verbindung TLS-geschützt wird, und anschließend den Nutzer auf einen vom Angreifer kontrollierten Server weiterleiten. Dort loggt sich der Client dann ein und der Angreifer kann direkt die Zugangsdaten abgreifen.

Diese Kombination funktioniert glücklicherweise nur selten, da die meisten Clients die Weiterleitungs-Features (Referral) von IMAP nicht unterstützen. Der Mail-Client Alpine war der einzige, bei dem es praktisch möglich war, diesen Angriff durchzuführen. Doch auch ohne diese Weiterleitung ist die Preauth-Sicherheitslücke ein Problem: Sie kann dazu führen, dass Mails unverschlüsselt zum Angreifer geleakt werden. Auch die Preauth-Lücke fand sich in vielen Mail-Clients, darunter ebenfalls Apple Mail und Mozilla Thunderbird.

TLS über eigene Ports ist sicherer und schneller

All diese Sicherheitslücken zeigen, dass die Implementierung von STARTTLS extrem fehleranfällig ist. Zwar ist es theoretisch möglich, STARTTLS sicher zu implementieren, doch Vorteile bietet es keine. Die direkte, implizite Verbindung über eigene TLS-Ports ist schneller, da Protokoll-Roundtrips gespart werden. Die Implementierung hat weniger Fallstricke und ist daher oft sicherer.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Terraform mit AWS
    14.-15. Dezember 2021, online
  2. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
  3. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Nutzer sollten, wenn immer das möglich ist, auf STARTTLS verzichten und die direkte TLS-Verbindung bevorzugen. Provider sollten sicherstellen, dass sie alle Protokolle auch in ihrer impliziten TLS-Variante auf eigenem Port anbieten. Leider tun das einige große Provider, darunter etwa Microsoft und Apple, bisher nicht, obwohl es bereits seit 2018 den RFC 8314 gibt, der nahelegt, dass die impliziten TLS-Ports bevorzugt werden sollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Zugangsdaten stehlen mit Command Injection
  1.  
  2. 1
  3. 2
  4. 3


jsonn 11. Aug 2021 / Themenstart

Die TLS-Protokolle hatten viele Jahre mit einem Problem zu kämpfen: inkompetente...

Artim 10. Aug 2021 / Themenstart

na Gott sei Dank. Dann muss man sich deine unsinnigen und leeren Behauptungen wenigstens...

bitshift 10. Aug 2021 / Themenstart

interessant (also wirklich). Danke für die Aufklärung.

gaym0r 10. Aug 2021 / Themenstart

Das war anstrengend zu lesen.

schily 09. Aug 2021 / Themenstart

Ja, das ist ein Problem, aber solange wir Leute wie Robert Elz nicht überzeugen können...

Kommentieren



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Clean Motion: Dreirad-Lastwagen Revolt soll sich per Photovoltaik aufladen
    Clean Motion
    Dreirad-Lastwagen Revolt soll sich per Photovoltaik aufladen

    Clean Motion hat mit dem Revolt einen kleinen Lieferwagen für die Stadt vorgestellt, der elektrisch fährt und mit Solarzellen gepflastert ist.

  2. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  3. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /