Am 1. März 2016 kündigten Sicherheitsforscher einen neuen Schwachstellen-Exploit an, der ein altes Sicherheitsprotokoll, SSLv2, betrifft und bis zu 33 % der Webserver betrifft. Sogar Webserver, die keine SSLv2-Verbindungen zulassen, könnten anfällig sein, wenn der auf dem Server verwendete private RSA-Schlüssel auf anderen Servern wiederverwendet wird. Und wie es scheint de rigueur zu sein Für große Sicherheitslücken hat es heutzutage einen einfachen und ahnungsvollen Namen:DROWN (der zugegebenermaßen viel leichter zu merken und zu referenzieren ist als seine offizielle Bezeichnung CVE-2016-0800).
.
So funktioniert DROWN
DROWN (D Verschlüsselung von R SA mit O bsolete und W gespitztes eN cryption) erfordert, dass ein Angreifer nur Zugriff oder die Möglichkeit hat, den Netzwerkverkehr auszuspähen, und die Möglichkeit, einen anfälligen Server abzufragen.
Ein Beispielszenario wäre ein Angreifer in einer Man-in-the-Middle-Position (MitM), der sehen könnte, wie ein Client eine TLS-Verbindung zu einem Webserver initiiert, um eine sichere HTTPS-Sitzung aufzubauen. Der Angreifer kopiert diese verschlüsselte Sitzung, einschließlich der Verschlüsselungsaushandlung, die sie startet. Der Angreifer übernimmt dann die anfängliche Schlüsselaushandlung und führt eine Variante eines alten Angriffs auf SSLv2-Verbindungen aus, der als Bleichenbacher-Angriff (oder Millionen-Nachrichten-Angriff) bekannt ist, auf einem anderen Server, der bereit ist, SSLv2 zu verwenden, und der denselben privaten RSA-Schlüssel wie verwendet der ursprüngliche Server. Aufgrund der Art und Weise, wie SSLv2 die Generierung von Sitzungsschlüsseln handhabt, könnte dieser Angriff es einem Angreifer ermöglichen, die Schwächen von SSLv2 (das seit fast 20 Jahren als veraltet und unsicher gilt) auszunutzen, um die über die sicherere TLS-Verbindung ausgehandelten Schlüssel zu erlangen.
Die Forscher waren in der Lage, „einen TLS 1.2-Handshake mit 2048-Bit-RSA in weniger als 8 Stunden mit Amazon EC2 zu einem Preis von 440 US-Dollar zu entschlüsseln“. Indem sie eine kürzlich (im März 2015) gepatchte Schwachstelle in OpenSSL ausnutzten, duplizierten sie ähnliche Ergebnisse „in einer Minute auf einer einzigen CPU“.
.
Bin ich betroffen?
Die Forscher, die diese Ausbeutung entdeckt haben, haben ein Online-Tool, das Sie darüber informieren kann, ob Ihre Domain oder IP angreifbar ist. Dieses Tool präsentiert positive Ergebnisse aus Scans, die sie im Februar 2016 durchgeführt haben, also stellt es keine Echtzeitdaten dar. Wenn Sie kürzlich Ihre OpenSSL-Version aktualisiert oder kürzlich Änderungen vorgenommen haben, die die Schwachstelle von DROWN beheben könnten, können Sie das von ihnen zusammengestellte Scanner-Dienstprogramm verwenden, um Ihre Gefährdung zu überprüfen.
.
Minderung der Gefährdung durch DROWN
Da SSLv2 der primäre Vektor für diesen Angriff ist, ist das Entfernen dieses Protokolls als Option während jeder sicheren Verbindungsaushandlung der erste Schritt. Konsultieren Sie die Dokumentation für Ihre Anwendungen, die SSL/TLS für die spezifischen Konfigurationseinstellungen verwenden, die SSLv2 (und SSLv3, für diese Angelegenheit) deaktivieren. Betroffene Anwendungen können Webserver (Apache, Nginx usw.), Mailserver (z. B. Postfix) und alle verbindungsorientierten Dienste umfassen, insbesondere alles, was die OpenSSL-Bibliothek verwendet.
Darüber hinaus sollten OpenSSL-Benutzer ihr OpenSSL auf Version 1.0.2g oder 1.0.1s aktualisieren, je nachdem, ob Sie Version 1.0.2 bzw. 1.0.1 verwenden. Einige frühere Versionen von OpenSSL ermöglichen möglicherweise immer noch die Ausnutzung dieses Angriffs durch die Verwendung schwacher Exportchiffren, selbst wenn sie ausdrücklich deaktiviert sind. Daher ist ein Upgrade nach Möglichkeit die beste Option – diese Versionen enthalten auch Patches, die andere Schwachstellen beheben, die nichts mit DROWN zu tun haben.
Eine zuverlässigere Lösung wäre schließlich die Verwendung eines eindeutigen privaten Schlüssels auf jedem Server, auf dem TLS ausgeführt werden muss. Bei bestimmten Zertifikaten, insbesondere OV- und EV-Zertifikaten, verursacht diese Option zusätzliche Kosten und kann für alle Bereitstellungen oder Situationen geeignet sein.
.
.