Sicherheitsprobe sagt, dass neuer SSL-Angriff auf viele Standorte treffen kann

Ein Computer-Sicherheitsberater aus Seattle sagt, er habe eine neue Methode entwickelt, um einen kürzlich offengelegten Fehler im SSL-Protokoll zu nutzen, der die Kommunikation im Internet sichert. Der Angriff, der schwer durchzuführen ist, könnte Angreifern einen sehr mächtigen Phishing-Angriff zufügen.

Frank Heidt, CEO der Leviathan Security Group, sagt, dass sein "generischer" Proof-of-Concept-Code dazu verwendet werden könnte, eine Vielzahl von Websites anzugreifen. Während der Angriff extrem schwierig ist, müsste der Hacker zuerst einen Man-in-the-Middle-Angriff ausführen, der Code ausführt, der das Netzwerk des Opfers kompromittiert - er könnte verheerende Folgen haben.

Der Angriff nutzt den SSL (Secure Sockets Layer) Authentication Gap Bug, der am 5. November veröffentlicht wurde. Einer der Entdecker von SSL Bugs, Marsh Ray von PhoneFactor, sagt, er habe eine Demonstration von Heidts Angriff gesehen, und er ist überzeugt, dass es funktionieren könnte. "Er hat es mir gezeigt und es ist das einzig Wahre", sagte Ray.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Der SSL-Authentifizierungsfehler gibt dem Angreifer die Möglichkeit, gesendete Daten zu ändern zum SSL-Server, aber es gibt immer noch keine Möglichkeit, die zurückkommenden Informationen zu lesen. Heidt sendet Daten, die bewirken, dass der SSL-Server eine Umleitungsnachricht zurückgibt, die den Webbrowser an eine andere Seite sendet. Er benutzt dann diese Umleitungsnachricht, um das Opfer zu einer unsicheren Verbindung zu bewegen, wo die Webseiten von Heidts Computer neu geschrieben werden können, bevor sie an das Opfer gesendet werden.

"Frank hat eine Möglichkeit gezeigt, diesen blinden Klartextinjektionsangriff zu nutzen ein vollständiger Kompromiss der Verbindung zwischen dem Browser und der sicheren Seite ", sagte Ray.

Ein Konsortium von Internetfirmen hat daran gearbeitet, den Fehler zu beheben, seit die PhoneFactor-Entwickler ihn vor einigen Monaten entdeckt haben. Ihre Arbeit erhielt neue Dringlichkeit, als der Fehler versehentlich auf einer Diskussionsliste veröffentlicht wurde. Sicherheitsexperten debattieren über den Schweregrad dieser neuesten SSL-Schwachstelle, seit sie öffentlich bekannt wurde.

Letzte Woche hat IBM-Forscher Anil Kurmus gezeigt, wie der Fehler dazu verwendet werden könnte, Browser dazu zu bringen, Twitter-Nachrichten mit Benutzerkennwörtern zu senden.

Dieser neueste Angriff zeigt, dass der Fehler verwendet werden könnte, um alle Arten von vertraulichen Informationen von sicheren Websites zu stehlen, sagte Heidt.

Um anfällig zu sein, müssen Sites etwas tun, das Client-Neuverhandlung unter SSL genannt wird und auch ein Element auf ihrem Sichere Webseiten, die eine bestimmte 302-Umleitungsnachricht erzeugen könnten.

Viele hochkarätige Banken- und E-Commerce-Websites geben diese 302-Umleitungsnachricht nicht in einer Weise zurück, die ausgenutzt werden kann, aber eine "große Anzahl" von Seiten könnte "So angegriffen werden", sagte Heidt.

Da so viele Webseiten in Gefahr sind, sagt Heidt, dass er seinen Code nicht sofort veröffentlichen will.

Aus der Sicht des Opfers ist die einzige merkliche Veränderung während eines Angriffs, dass der Browser nicht lo Es sieht so aus, als wäre es mit einer SSL-Site verbunden. Der Angriff ähnelt dem SSL-Strip-Angriff, den Moxie Marlinspike [cq] Anfang dieses Jahres auf einer Sicherheitskonferenz demonstriert hat.

Die Leviathan Security Group hat ein Tool entwickelt, mit dem Webmaster überprüfen können, ob ihre Sites anfällig für SSL-Authentifizierungslücken sind Angriff.

Da SSL und sein Ersatzstandard TLS in einer Vielzahl von Internettechnologien verwendet werden, hat der Fehler weitreichende Auswirkungen.

Thierry Zoller, ein Sicherheitsberater bei G-Sec, sagt, dass theoretisch Der Fehler könnte verwendet werden, um Mail-Server anzugreifen. "Ein Angreifer kann potenziell Mails per E-Mail über gesicherte SMTP-Verbindungen [Simple Mail Transfer Protocol] senden, auch wenn sie durch ein privates Zertifikat authentifiziert sind", sagte er in einem Sofortnachrichten-Interview.

Zoller, der Leviathans Code noch nicht gesehen hat, sagte, dass, wenn der Angriff wie angekündigt funktioniert, es nur eine Frage von Tagen sein wird, bis jemand anderes herausfindet, wie es geht.