Attacken gegen SSL/TLS Verbindungen
Es sind oftmals haarsträubende Sicherheitslücken in Produkten verschiedener Hersteller, die der Sicherheitsforscher Tavis Ormandy, er ist Mitglied von Googles Project Zero, bereits aufgedeckt hat. Über die erfolgreiche Arbeit des Sicherheitsforschers Ormandy haben wir auf trojaner-info.de bereits mehrfach berichtet, wie auch in den weiterführenden Links ersichtlich ist. Im aktuellen Fall sollen alle Nutzer der Software betroffen sein, das bedeutet 400 Millionen Rechner.
Wie derstandard.at dazu weiter berichtete, geht es im derzeitigen Fall um die Antivirensoftware von Kaspersky. Diese, so heißt es, unterwandert unbeabsichtigt zentrale Schutzfunktionen der Internetkommunikation. Der Fehler in der Internet Security führt dazu, dass Man-in-the-Middle-Attacken gegen mittels SSL/TLS abgesicherte Verbindungen ausgeführt werden können. Ein Weg für kriminelle Angreifer mit gefälschten Zertifikaten die verschlüsselte Kommunikation auf eigene Server umzuleiten. Der Zugriff auf diverse persönliche Daten und diverser Missbrauch wäre damit möglich.
Googles Project Zero
Project Zero ist der Name eines Teams von Sicherheitsexperten die Google mit der Suche nach Zero-Day - Schwachstellen beauftragt hat. Das Projekt wurde am 15. Juli 2014 ins Leben gerufen. Das Ziel besteht darin, das Internet sicherer zu machen und politisch Verfolgten zu helfen. Zu seinen Mitgliedern gehört unter anderem Tavis Ormandy.
SSL Proxy ungenügend abgesichert
Die Kaspersky-Software beinhaltet eine Schutzfunktion, die mittels eigenen Zertifikaten verschlüsselte Verbindungen auf Schädlinge untersuchen kann. Im Zusammenhang mit dieser Funktion kommt es zur Angriffsproblematik. Konkret geht es um die Absicherung des SSL Proxy, die nur durch einen 32-Bit-langen MD5-Hash erfolgt ist. Dieser lässt sich blitzschnell nachbilden. Das führt letztendlich zur Auslösung einer Hash-Kollision und zur Umleitung des Traffic.
Fazit
Der Sicherheitsforscher Ormandy beklagt zum einen die Trivialität des Fehlers, zum anderen die offensichtlich schwache Prüfung durch den Hersteller. Dies könne jeder überprüfen, der zuerst die Seite https://autodiscover.manchesterct.gov/ und dann https://news.ycombinator.com/ aufruft. Die Folge sei, dass das – valide – Zertifikat der Hacker News plötzlich als vermeintlich falsch ausgegeben wird.
Kaspersky stellte Update bereit
Bei Kaspersky hat man den Fehler mittlerweile bestätigt, und mit einem Update reagiert. Das bedeutet wer alle aktuellen Updates installiert hat, sollte also mittlerweile nicht mehr gefährdet sein.