Abo
  • Services:

Zeitserver: Neue Angriffe auf das Network Time Protocol

Ein Forscherteam der Universität Boston präsentiert neue Angriffe gegen NTP, dem Protokoll zum Setzen der Systemzeit übers Netz. Mittels gespoofter Pakete können NTP-Clients faktisch abgeschaltet und in seltenen Fällen auch mit einer falschen Systemzeit manipuliert werden.

Artikel veröffentlicht am , Hanno Böck
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist.
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons/CC-BY 2.0)

Das Network Time Protokol (NTP) zum Setzen der Systemzeit auf Computern weist Schwächen auf, die es Angreifern unter bestimmten Umständen ermöglichen, mittels gespoofter Pakete die Verbindungen zu Zeitservern zu verhindern und in einigen Fällen sogar einem Client gefälschte Antworten unterzuschieben. Dass NTP generell gegen Man-in-the-Middle-Angriffe verwundbar ist, ist keine Neuigkeit, aber die jetzt von Forschern der Universität Boston präsentierten Angriffe können mittels gespoofter UDP-Pakete auch ohne Man-in-the-Middle-Angriff durchgeführt werden.

Denial-of-Service mittels Kiss-of-Death-Paketen

Stellenmarkt
  1. degewo netzWerk GmbH, Berlin
  2. Hilger u. Kern GmbH Industrietechnik, Cham (Schweiz)

NTP-Server können Clients ein sogenanntes Kiss-of-Death-Paket schicken, um ihnen zu signalisieren, dass sie überlastet sind, und der Client diesen Server nicht mehr so häufig anfragen soll. Diese Kiss-of-Death-Pakete konnten die Forscher ausnutzen, um Clients dazu zu bringen, die Intervalle so hoch zu setzen, dass der Server über Jahre nicht mehr angefragt wurde. Das NTP-Protokoll erlaubt es bei IPv4-Verbindungen, von Systemen, die gleichzeitig als Client und als Server agieren, herauszufinden, von welchem Server sie wiederum ihre Zeit erhalten haben. Somit kann ein Angreifer zunächst herausfinden, welchen Server ein System nutzt und es anschließend dazu bringen, diesen Server nicht mehr zu benutzen. Wenn ein System mehrere NTP-Server nutzt, kann der Angreifer diesen Angriff auch mehrfach ausführen.

Neben der Möglichkeit, die NTP-Funktionalität des Servers mit einem derartigen Angriff komplett zu deaktivieren, erwähnen die Autoren des Angriffs auch, dass es denkbar sei, einen Server, der viele verschiedene andere Server zum Setzen der Zeit nutze, auf einen schlechten Server zu pinnen. Bei einem Scan aller NTP-Server im Internet fanden die Wissenschaftler heraus, dass eine ganze Reihe von Servern entweder überhaupt nicht mit einer Zeit antwortete oder eine falsche Zeit auslieferte. Insgesamt fanden die Forscher etwa 13 Millionen IPs, unter denen ein NTP-Server erreichbar war. 1,7 Millionen davon antworteten mit einer Uhrzeit, die mehr als zehn Sekunden danebenlag, und 3,2 Millionen, die keine Uhrzeit sendeten.

Ein weiterer Angriff der Autoren setzte darauf, die Fragmentierung von IP-Paketen auszunutzen, um einem Client eine falsche Serverantwort unterzuschieben. Dabei kommt ein Teil der Antwort von einem legitimen NTP-Server, der Rest der Antwort ist ein gespooftes Paket des Angreifers. Damit dieser Angriff funktioniert, müssen allerdings einige Bedingungen erfüllt sein. Der Server muss bei der Paketfragmentierung das Setzen der sogenannten MTU (Maximum Transfer Unit) auf 68 Bytes erlauben. Aktuelle Versionen des Linux-Kernels erlauben dies nicht. Insgesamt fanden die Forscher etwa 11.000 Server, die für den Angriff verwundbar waren, also vergleichsweise wenige.

Um den Angriff zu ermöglichen, muss weiterhin der Client ein bestimmtes Verhalten bei überlappenden IP-Fragmenten zeigen. Wie viele Systeme mit NTP-Server als Client für diesen Angriff verwundbar sind, wollten die Forscher nicht testen, denn dazu hätten sie überlappende IP-Fragmente schicken müssen. Ein sehr alter Bug namens Teardrop, der in den 90er Jahren gefunden worden war, führte unter zahlreichen Betriebssystemen dazu, dass diese abstürzen, wenn sie derartige IP-Pakete erhalten. Das Risiko, den Absturz von Systemen herbeizuführen, wollten die Forscher nicht eingehen.

Man-in-the-Middle-Angriffe auf NTP keine Neuigkeit

Keine Neuigkeit ist, dass NTP-Verbindungen in aller Regel für Man-in-the-Middle-Angriffe verwundbar sind. Das Protokoll bietet zwar zwei Authentifizierungsmethoden, aber beide werden selten genutzt. Die eine nutzt einen symmetrischen Schlüssel, das bedeutet, dass sich Server und Client vorab auf einen Schlüssel einigen müssen. Die andere Methode namens Autokey hat zahlreiche Sicherheitslücken und bietet kaum Schutz. Aus diesem Grund wird in der Praxis NTP bis heute praktisch immer ohne kryptographische Schutzmaßnahmen verwendet, und ein Angreifer kann jederzeit einem System eine falsche Uhrzeit unterschieben.

Die NTP-Referenzimplementierung verwirft allerdings Uhrzeiten von Servern, die deutlich von der aktuellen Systemzeit abweichen. Die Forscher weisen jedoch darauf hin, dass dieser Schutz an einem Punkt nicht greife: Beim Starten erlaubt der NTP-Daemon, wenn er mit einer entsprechenden Option gestartet wurde, einmalig eine Uhrzeit, die beliebig von der aktuellen Systemzeit abweichen kann. Diese Option ist meistens die Standardeinstellung. Mit einigen Tricks gelang es weiterhin auch, einem System zunächst eine scheinbar plausible Zeit unterzuschieben, die nur wenig von der echten Uhrzeit abwich, und anschließend eine deutlich abweichende Zeit zu schicken.

13 Sicherheitslücken geschlossen

Die Entwickler der NTP-Standardimplementierung haben zeitgleich mit der Veröffentlichung dieser Forschungsergebnisse eine neue Version (4.2.8p4) veröffentlicht. Darin werden einige der beschriebenen Probleme behoben, und die Angriffe deutlich erschwert. Daneben wurden in dieser Version weitere Sicherheitsprobleme behoben, insgesamt wurden mit dem Update 13 Sicherheitslücken geschlossen.

Eine falsche Systemzeit kann zu zahlreichen Sicherheitsproblemen führen. So könnte ein Angreifer etwa abgelaufene TLS-Zertifikate weiter einsetzen. Im vergangenen Jahr zeigte der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam, wie man mittels einer manipulierten Systemzeit das HSTS-Verfahren aushebeln kann. Selvi hatte auch ein Tool für Man-in-the-Middle-Angriffe auf NTP mit dem Namen Delorean entwickelt.

Eine Alternative zu NTP ist das Tool Tlsdate. Es erlaubt das Setzen der Systemzeit über den Timestamp von TLS. Allerdings ist diese Methode nicht so genau wie NTP. OpenNTPD, die NTP-Implementierung von OpenBSD, unterstütz eine Methode, bei der gleichzeitig eine NTP- und eine HTTPS-Verbindung genutzt wird, um größere Zeitsprünge zu verhindern. Beide Methoden sind letztendlich jedoch nur Workarounds. Langfristig sollte das NTP-Protokoll mittels Zertifikaten und Signaturen abgesichert werden, ein Entwurf hierfür existiert bereits.



Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar

Alexspeed 23. Okt 2015

Und hierauf haben es die Hacker abgesehen. Nicht unbedingt selbst zu verdienen. Man macht...

Th3Br1x 23. Okt 2015

NTP-Amplification-DDoS wäre ein weiteres Beispiel, warum man das NTP deutlich besser...


Folgen Sie uns
       


Neue OLED-Leuchtmittel angesehen (Light and Building 2018)

Die OLED-Technik macht im Leuchtenbereich Fortschritte.

Neue OLED-Leuchtmittel angesehen (Light and Building 2018) Video aufrufen
Coradia iLint: Alstoms Brennstoffzellenzug ist erschreckend unspektakulär
Coradia iLint
Alstoms Brennstoffzellenzug ist "erschreckend unspektakulär"

Ein Nahverkehrszug mit Elektroantrieb ist eigentlich keine Erwähnung wert, dieser jedoch schon: Der vom französischen Konzern Alstom entwickelte Coradia iLint hat einen Antrieb mit Brennstoffzelle. Wir sind mitgefahren.
Ein Bericht von Werner Pluta

  1. Alternativer Antrieb Toyota zeigt Brennstoffzellenauto und Bus
  2. General Motors Surus bringt Brennstoffzellen in autonome Lkw
  3. Alternative Antriebe Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

    •  /