Neue NTP-Attacken ermöglichen Zurücksetzen der Zeit

Sharon Goldberg, Privatdozentin an der Fakultät für Informatik an der Boston University, erinnert sich noch gut an den kalten Februartag, als ihre Doktorandin, Aanchal Malhotra, die zu dem Zeitpunkt an ihrer Dissertation über Routing-Sicherheit arbeitete, insbesondere über Angriffe auf die RPKI (resource public key infrastructure), immer wieder aufgrund eines Cache-Überlauf-Problems an eine Grenze stieß.

In einem letzten verzweifelten Lösungsversuch beschloss die einfallsreiche Malhotra, die Zeit auf dem Computer zurückzusetzen. Zum allgemeinen Erstaunen funktionierte es. „Ihr ist es gelungen, eine Attacke nachzubilden und ich wollte wissen, was sie konkret getan hatte“, erzählt Goldberg. „Sie sagte, dass sie einfach die Zeit im Computersystem geändert habe und es habe funktioniert. Uns beiden fiel nicht mehr dazu ein als: „Wow!“

Unbeabsichtigt war Malhotra auf eine ernsthafte Sicherheitslücke im Network Time Protocol gestoßen, ein Standard zur Synchronisierung von Uhren in Computersystemen. Mit dessen Hilfe können Angreifer aus einer „Man-in-the-Middle“-Position die Zeit auf allen Maschinen im Netzwerk zurücksetzen und sich in den Verschlüsselungsprozess einmischen, eine Dienstverweigerung verursachen oder die Schutzschwelle bei Verwendung von Technologien wie etwa DNSSEC absenken.

„Erstaunlich, dass noch niemand vorher auf die Idee gekommen ist, diesen Angriffsvektor zu nutzen“, kommentiert Goldberg. „Wir sind uns bewusst, dass das ein mächtiges Tool für Angriffe auf Systeme ist, für die die Zeit ein wichtiger Faktor ist. Die meisten Verschlüsselungssysteme verwenden Zeitmarken, und das hat auch seinen Grund. Sind sie fehlerhaft, sind Unannehmlichkeiten vorprogrammiert.“

In dieser Woche haben Goldberg, Malhotra und ihre Universitäts-Kollegen Isaac E. Cohen und Erik Brakke einen Artikel mit dem Titel Attacking the Network Time Protocol („Angriff auf das Network Time Protocol“) veröffentlicht, in dem einige Varianten von Angriffen auf das NTP genauer besprochen werden. Alle diese PoC sind zum Erfolg verdammt, da die nicht vollständige Authentifikation und Fehler in der Umsetzung der Verschlüsselungssysteme ein Zurücksetzen der Zeit ermöglichen, was wiederum großes Chaos im Internet verursachen könnte.

Das ist nicht das einzige Beispiel für die Ausnutzung einer Sicherheitslücke im Protokoll NTP. Ende 2013 und Anfang 2014 benutzten Cyberkriminelle NTP-Server zur Verstärkung von DDoS-Traffic, indem sie die IP-Adressen der Anfrage-Quelle austauschten, um einen mächtigen Junktraffic-Strom auf das Ziel zu lenken.

Laut Goldberg kann die von den Universitätswissenschaftlern entdeckte Sicherheitslücke die Durchführung von Attacken unterschiedlicher Schwierigkeitsgrade ermöglichen. Die einfachste wird mit Hilfe eines Exploits für eine Einschränkungsfunktion der Übertragungsgeschwindigkeit realisiert, die in NTP integriert ist. Ein Angreifer muss lediglich ein speziell erstelltes Paket abschicken, den so genannten „Todeskuss“ (Kiss-of-Death), indem er die Quelle fälscht. So werden effektiv alle Anfragen des Opfers an den Server blockiert, und zwar über Jahre, wenn der Angreifer es will, und es ist nicht möglich, die Uhren zu aktualisieren.

„Da die Zahl der Kiss-o‘-Death-Pakete für jeden angegriffenen Kunden nicht groß ist, kann man den Standard-Netzscanner (nmap, zmap) problemlos modifizieren und ihn für flächendeckende Angriffe auf ntpd-Clients im Internet benutzen“, schreibt Goldberg auf der Websites der Boston University, wo sie nebenbei auch Empfehlungen zum Schutz von NTP-Servern und Clients gibt.

Nach ihren Worten kann eine derart umfangreiche Attacke durchgeführt werden, indem man den IPv4-Adressraum scannt und die Antworten von den angreifbaren Servern abhört. Das dieser Tage veröffentlichte Patch für NTP macht es deutlich schwieriger ein Kiss-of-Death-Paket einzusetzen.

Alle bisherigen PoC-Attacken auf NTP wurden laut Goldberg aus einer „Man-in-the-Middle“-Position heraus durchgeführt, darunter auch die Variante, die auf der Black Hat im vergangenen Sommer von Jose Selvi vorgestellt wurde, der das NTP für die Umgehung von HSTS benutzte. Goldberg und ihre Kollegen verwendeten bei ihrer Untersuchung eins der Instrumente von Selvi, und zwar, Delorean.

„In den letzten paar Jahren wurde wesentlich mehr an Attacken gearbeitet, die von einer Adresse aus gefälschter Quelle gestartet werden“, bemerkt Goldberg. „Bei einer so genannten Off-Path-Attacke wird der Traffic nicht abgefangen, der Angreifer sendet einfach Pakete von seinem Computer. Diese Bedrohung ist viel furchteinflößender.“

In ihrem Artikel beschreiben die Universitätswissenschaftler ebenfalls eine DoS-Attacke, die es sogar mit einem Patch für den „Todeskuss“ ermöglicht, NTP auf dem Client des Opfers zu deaktivieren. „In diesem Fall löst der Angreifer die Wirksamkeit des KoD-Pakets für Server aus, die in der Konfiguration des Clients eingestellt sind, indem er diese Information buchstäblich „herausquetscht“, beispielsweise indem er den Servern eine große Zahl gefälschter Anfragen sendet, die angeblich vom Client stammen“, erklären die Autoren. „Als Reaktion beschränken die Server die Datenübertragungsgeschwindigkeit für den Client und für jede nun folgende Anfrage wird ein gültiges KoD-Paket ausgegeben. Mit Erhalt des KoD hört der Client auf, seine Server anzufragen und verliert damit die Möglichkeit, seine Uhren zu aktualisieren.“

Eine dritte von den Forschern untersuchte Attacke sieht eine „Man-in-the-Middle“-Position vor und ermöglicht das Abfangen des Traffics, der an einen NTP-Server gerichtet ist, indem das BGP oder DNS abgefangen wird. Das führt zum Zurücksetzen der Zeit auf den Clients unter Umgehung der im NTP integrierten Sicherung, die Änderungen um mehr als 16 Minuten nicht zulässt. Als Konsequenz erhält ein Angreifer die Möglichkeit, den Cache des Clients zu manipulieren, und beispielsweise ein kryptografisches Objekt ungültig zu machen.

Eine weitere Variante einer Off-Path-Attacke mit Zurücksetzen der Zeit auf seiten des Clients nutzt Fehler in der Fragmentierung von IPv4-Paketen aus.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.