News

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fallen von den populären Browsern nur Firefox und Opera nicht auf den Trick herein.

Zwar ist der Internet Explorer grundsätzlich verwundbar für die manipulierten Zertifikate, in den Versionen 7 und 8 warnt der Browser dennoch, weil das Zertifikat mittlerweile vom ausstellenden Trustcenter IPS CA zurückgezogen wurde. Da der Microsoft-Browser die Revocation-Liste dieses Trustcenter prüft, verweigert er den Aufbau der Seite. Ist die standardmäßig aktivierte Prüfung aus irgendeinem Grund jedoch deaktiviert, akzeptiert der Browser das Zertifikat. Auf die Prüfung sollte man sich aber nicht blind verlassen, insbesondere bei Angriffen auf SSL im Intranet: Moxie Marlinspikes hat im Juli einen Weg beschrieben, wie man die Online-Prüfung der Revocation-Liste aushebeln kann.

Erst wenn in Google Chrome die Gültigkeitsprüfung der Serverzertifikate aktiviert ist, warnt der Browser.

Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat indes ohne Murren und ohne Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist. Bei Chrome lässt sich die Prüfung unter „Optionen/Details/Sicherheit/Sperrung des Serverzertifikats“ anschalten.

Bereits vergangene Woche hatte der Hacker Jacob Appelbaum ein Zertifikat veröffentlicht, das für beliebige Domains funktioniert und in verwundbaren Browsern keine Fehlermeldung produziert. Der Internet Explorer warnte aber auch vor diesem Zertifikat, weil er die Wildcard-Angabe im Zertifikat nicht unterstützt.

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach