Ausmaß des Heartbleed-Bugs in OpenSSL immer verheerender

UPDATE–Website-Betreiber und Softwareanbieter beeilen sich, den Heartbleed-Bug in OpenSSL zu beseitigen, der letzten Montag aufgedeckt wurde – eine Sicherheitslücke, die es einem Angreifer ermöglicht, auf Anfrage vom Server 64 KB Speicher auszulesen. Attacken dieser Art können private Schlüssel, Benutzernamen und Passwörter sowie andere sensitive Daten offen legen. Angreifbar sind in diesem Moment auch einige große Websites, inklusive Yahoo Mail und andere.

Die Sicherheitslücke befindet sich in OpenSSL 1.0.1f und älteren Versionen. Die Mitarbeiter des Projekts haben am Montag ein Patch für den Fehler veröffentlicht. Jetzt, da Details zu der Schwachstelle veröffentlicht wurden, haben Forscher begonnen, sie zu analysieren und es wurden bereits mehrere Tools zum Testen verschiedener Domains auf Verwundbarkeit veröffentlicht. Es konnte bestätigt werden, dass einige äußerst populäre Sites, unter anderem Yahoo Mail, Lastpass, die OpenSSL-Site sowie die Hauptwebsite des FBI bestimmte Informationen über diesen Bug durchsickern lassen. Außerdem wurde auf Github ein Proof-of-Concept-Exploit für den Fehler gepostet.

Vertreter von Lastpass teilten mit, die Sicherheitslücke sei am Dienstagmorgen geschlossen worden, und Daten seien niemals einem Risiko ausgesetzt gewesen. Das Unternehmen verwendete eine verwundbare Version von OpenSSL, unterhielt aber andere Sicherheitsmaßnahmen, die das Risiko minderten.

“Allerdings ist LastPass diesbezüglich einmalig – es hat Ihre Daten zusätzlich mit einem Schlüssel chiffriert, auf den die LastPass-Server keinen Zugriff haben. Ihre sensitiven Daten werden niemals unverschlüsselt über SSL übermittelt – sie sind bereits verschlüsselt, wenn sie übermittelt werden – mit einem Schlüssel, den LastPass niemals erhält. Obwohl dieser Bug sehr schwerwiegend ist, werden die verschlüsselten Daten der LastPass-Kunden dank einer zusätzlichen Schutzschicht nicht preisgegeben. Im größten Teil des Webs werden die Daten der Nutzer nicht verschlüsselt, bevor sie über SSL übermittelt werden, daher nun die verbreitete Besorgnis“, schreibt das Unternehmen in einem Blogpost.

“Zudem setzt LastPass ein Feature mit der Bezeichnung “perfect forward secrecy” ein. Das stellt sicher, dass der vergangene und zukünftige Traffic ebenfalls entschlüsselt wird, auch wenn ein bestimmter Sicherheitsschlüssel kompromittiert wurde.”

Die Sicherheitslücke ergibt sich aus der Art, wie OpenSSL die Heartbeat-Erweiterung im TLS-Protokoll verarbeitet.

Eine fehlende Längenprüfung ermöglicht es einem Angreifer, bis zu 64 KB Speicher auf einer von OpenSSL geschützten Maschine auszulesen.

“Der Heartbleed-Bug ermöglicht es jedem im Internet, den Speicher eines Systems auszulesen, das von einer angreifbaren Version der OpenSSL-Software geschützt wird. Dadurch könnten vertrauliche Schlüssel zur Identifizierung des Serviceproviders und zur Verschlüsselung des Traffics kompromittiert werden, ebenso wie die Namen und Passwörter der Nutzer und der aktuelle Content. So wird es Angreifern möglich, Kommunikation abzuhören, Daten direkt von den Diensten und den Nutzern zu stehlen und sich als Services oder Nutzer auszugeben”, heißt es in der Beschreibung von Codenomicon.

OpenSSL ist die vermutlich am weitesten verbreitete SSL-Bibliothek, die in einer Vielzahl von Betriebssystemen und Anwendungen eingesetzt wird, inklusive eines breiten Spektrums von Unix- und Linux-Distributionen. Red Hat und Ubuntu haben bereits Patches für die Sicherheitslücke herausgegeben.

Doch das größere Problem besteht darin, dass viele SSL-Zertifikate nun kompromittiert werden könnten, da der geheime Schlüssel, der ein bestimmtes Zertifikat schützt, in einer Attacke auf diese Sicherheitslücke offen gelegt werden könnte. Diese Zertifikate zurückzurufen und dann wieder neu aufzulegen, kann viel Zeit in Anspruch nehmen, je nach dem wie viele Organisationen bemerken, dass ihre Sites angreifbar sind und wie schnell sie reagieren.

“Diese Sicherheitslücke ist ein Alptraum, da sie potentiell geeignet ist, den langfristigen geheimen Schlüssel preiszugeben — und zwar denjenigen, der mit Ihrem Server-Zertifikat korrespondiert. Noch schlimmer ist, dass man nicht feststellen kann, ob er ausgenutzt wurde. Das Klügste, was man in diesem Fall tun kann, ist es also, das Zertifikat zurückzurufen und ein neues zu erhalten. Wir werden sehen, wie viele Leute das tun“, sagte der Kryptograph Matthew Green, Professor an der Johns Hopkins University.

Die Sicherheitslücke in OpenSSL scheint vor zwei Jahren aufgetreten zu sein. Eine Test-Site, auf der Nutzer ihre Sites auf Vorhandensein der Sicherheitslücke überprüfen können, steht seit Montag zur Verfügung.

Ivan Ristic, Direktor für Anwendungssicherheitsforschung bei Qualys, sagte, dass die OpenSSL-Heartbleed-Lücke für viele Organisationen potentiell recht schädigend sei – wegen der Leichtigkeit, mit der sie ausgenutzt werden kann und aufgrund der Auswirkungen, die eine erfolgreiche Attacke hat.

“Diese Sicherheitslücke ist sehr einfach auszunutzen. Man kann das problemlos aus dem Nichts selbst hinkriegen (beginnend mit der Anwendung von diff in OpenSSL), und es gibt außerdem verschiedene Tools, die man innerhalb von Minuten herunterladen und einsetzen kann”, sagte Ristic.

“Der SSL Pulse-Statistik zufolge unterstützen etwa 32% der Server dieser Auswahl TLS 1.2. Höchstwahrscheinlich verwenden die meisten davon OpenSSL und sind angreifbar. Das ist also eine sehr große Zahl von Servern. Da das so leicht auszunutzen ist, konnten wir bereits viele Attacken beobachten. Server ohne Forward Secrecy sind am verwundbarsten, denn ein ernstzunehmender Widersacher, der über eine Aufzeichnung des verschlüsselten Traffics verfügt, ist nun in der Lage, den privaten Schlüssel der Site wiederherzustellen und diesen zu benutzen, um den Traffic rückwirkend zu entschlüsseln.”

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.