Neue Attacken nutzen alte Probleme mit Cookies aus

Falls Sie es noch nicht wussten oder vergessen haben: Cookies sind nicht unbedingt sonderlich gut vor Angriffen geschützt.

Das vom US-Ministerium für Innere Sicherheit, DHS, unterstützte CERT (Cyber Emergency Response Team) am Software Engineering Institute der Carnegie Mellon University gab diese Woche eine Alarmmeldung heraus, in der die Anwender vor der fortgesetzten Vorherrschaft einer ganzen Klasse von Sicherheitslücken in Cookie-Dateien warnen, welche die persönlichen und sogar die finanziellen Daten der Anwender einem Risiko aussetzen könnten.

Der Alarm wurde durch eine Studie mit dem Titel „Cookies Lack Integrity: Real-World Implications“ ausgelöst, die letzten Monat auf der USENIX-Konferenz vorgestellt wurde. Die Verfasser sind: Xiaofeng Zheng, Jian Jiang, Jinjin Liang, Haixin Duan, Shuo Chen, Tao Wan und Nicholas Weaver von der chinesischen Tsinghua University, dem International Computer Science Institute, Microsoft, Huawei Kanada und der University of California, Berkeley.

Die Autoren der Studie haben sich intensiv mit Cookie-Einschleusungsattacken beschäftigt, die selbst in geschützten HTTPS-Verbindungen durchgeführt werden können. Sie beschreiben Sicherheitslücken und Schwachstellen in der Umsetzung der RFC 6265 Cookie-Spezifikation.

Die auf der USENIX beschriebene Attacke macht eine Netzwerk-basierte „Man-in-the-Middle“-Position erforderlich, wodurch die Möglichkeit eröffnet wird, Cookie-Dateien in eine HTTP-Sitzung einzuschleusen, die ebenfalls über HTTPS-Verbindungen übermittelt werden. Die Forscher erläuterten, dass diese Sicherheitslücken in einer Reihe von stark frequentierten Sites bestehen – namentlich nannten sie Google und die Bank of America –, und ergänzten, dass unter anderem der Verlust persönlicher Daten, Account-Diebstahl und auch finanzielle Verluste zu den Folgen gehören können.

„Nehmen wir beispielsweise einmal an, Sie finden sich in einem Netz, das ein Cyberkrimineller kontrollieren kann (wie etwa Starbucks oder offenes WiFi). Der Verbrecher übernimmt dann kurzfristig die Kontrolle über ihren Browsers, um Cookies für die Zielseite einzuschleusen“, erklärte Weaver gegenüber Threatpost. „Dann, etwas später, wenn Sie diese Site besuchen (in einem anderen Netz, unter anderen Bedingungen), übermittelt Ihr Browser der Site den gefälschten Cookie und die Site verarbeitet diesen Cookie. Er kann den Nutzer beispielsweise nur beobachten oder es kann zu einer vollständigen XSS-Attacke ausufern, die in der Cookie-Datei selbst voreingestellt ist.“

In dem Dokument weisen die Forscher darauf hin, dass die Domain-Isolation von Cookies schwach ist, und dass unterschiedliche, aber zusammenhängende Domains sich dasselbe Cookie-Set teilen können. Auszug aus der Studie:

„Ein Cookie kann das Flag „sicher“ haben, was bedeutet, dass es nur via HTTPS übertragen wird, was seine Vertraulichkeit während einer Man-in-the-Middle-Attacke verstärkt“. Trotzdem gibt es keine derartige Maßnahme zum Schutz seiner Integrität vor demselben Gegner: Einer HTTP-Anfrage ist es erlaubt, geschützte Cookies für ihre Domain zu installieren. Ein Cyberkrimineller auf einer verbundenen Domain kann die Integrität des Cookies zerstören, indem er gemeinsame Cookies verwendet.“

Selbst eine Same-Origin-Policy, die den Inhalt zwischen Domains isolieren soll, ist kein effektiver Schutz vor solchen Attacken, da ein Verbrecher den Browser des Opfers dazu bringen kann, eine schädliche Site zu besuchen.

„Da RFC 6265 keinen Mechanismus zur Gewährleistung der Isolation und Garantie der Integrität definiert, authentifizieren nicht alle Webbrowser die Domain, die die Cookies installiert“, heißt es in der Warnung des CERT. „Ein Cyberkrimineller kann das für die Installation einer Cookie-Datei nutzen, die dann über eine HTTPS-Verbindung anstelle des von der echten Site installierten Cookies verwendet wird.“

Die Forscher schlagen eine Reihe möglicher Schutzmaßnahmen vor, von denen die wichtigste die Implementierung von HSTS (HTTP Strict Transport Security) ist, sowie Veränderungen, die von den Browserherstellern vorgenommen werden müssen. Das Dokument beschreibt außerdem ein Beispiel für eine Browsererweiterung, die Cookie-Dateien zwischen HTTP- und HTTPS-Domains besser isoliert.

„HSTS hält Ihren Browser davon ab, die Cookies eines Angreifers für alle HSTS unterstützenden Sites zu akzeptieren, die Sie schon einmal besucht haben, da sie nicht über HTTPS, sondern über HTTP laufen“, sagte Weaver. „So ist jede Site, die für ihre Basis-Domain und alle Subdomains HSTS eingestellt hat, gegenüber Angriffen immun.“

„[Die Browser] müssen die Art, wie Cookies verarbeitet werden, ändern, wobei das immer ein riskantes Feld ist, denn es besteht die Möglichkeit, dass eine strengere Policy zum Schutz von Cookies bestehende Websites kaputtmacht“, ergänzte Weaver.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.