Achtung: Neue Bedrohung für https erkannt!

it-sicherheit 50
Fachbeitrag

HTTPS-verschlüsselte Verbindungen schützen gerade in öffentlichen Netzen vor unerwünschten Zugriffen. Dieser Schutz ist offenbar trügerisch und kann leicht umgangen werden – wie die Hackerkonferenz „Black Hat“ berichten wird.

Wer kennt das nicht?

Man befindet sich fern von zu Hause und muss dringend ins Netz. Als treuer Leser dieses Blogs weiß man: Vorsicht Falle!

Also nutzt man natürlich nur HTTPS-Verbindungen für sensible Aktionen, da diese dafür sorgen, dass der gesamte Datenverkehr des Clients auch in einem fremden Netz, einschließlich URLs, Cookies und Verbindungsparameter, geschützt ist. Mit VPN ist es noch sicherer.

Also alles klar?

Von wegen!

Über einen Missbrauch des Web-Proxy-Autodiscovery-Protokolls (WPAD) sollen dem Betreiber / Admin des genutzten Netzes der Zugriff auf die besuchten Klartext-URLs eines Nutzers möglich sein – selbst wenn diese eigentlich per HTTPS geschützt sind, wie aktuell berichtet und nächste Woche auf der Black Hat Hackerkonferenz vorgestellt werden soll.

„People rely on HTTPS to secure their communication even when the LAN/Wi-Fi cannot be trusted (think public Wi-Fi/hotels/cafes/airports/restaurants, or compromised LAN in an organization).

We show that HTTPS cannot provide security when WPAD is enabled. Therefore, a lot of people are actually exposed to this attack when they engage in browsing via non-trusted networks.“

so Itzik Kotler, Cofounder und CTO der Sicherheitsfirma SafeBreach.

Wie läuft der Angriff ab?

Der einfachste Weg für den Angreifer ist es, eine falsche Antwort an den Nutzer zu senden, wenn dieser das DHC Protokoll verwendet um sich mit dem Netzwerk zu verbinden.

Beim WPAD-Standard sendet ein Webbrowser, bevor die erste Seite abgefragt wird, dem lokalen DHCP-Server eine DHCPINFORM-Anfrage und benutzt dann die URL, die ihm in der WPAD-Option der Antwort mitgeteilt wird. Dies nutzt der Angreifer aus, indem er dem Browser des Nutzers zwingt eine bösartige Proxy-Autoconfig-Datei (PAC) anzunehmen.

Die bösartige PAC-Datei erhält nun die Anfrage des Browser bevor dieser die eigentliche HTTPS Verbindung aufgebaut hat – und legt damit die URL im Klartext offen.

Erheblicher Informationsabfluss droht

„Ja und? Ist doch nur die URL!“   Eben nicht!

Auch wenn die sonstige Information der HTTPS-Verbindung weiterhin geschützt ist, birgt der Zugriff auf die Klartext-URL doch erhebliche Risiken.

So nutzt Beispielsweise der Open-ID-Standard URLs um Nutzer ohne Benutzername und Passwort bei allen das System unterstützenden Websites zu authentifizieren.

Auch Passwörter, Benutzernamen und Session-IDs und Links zu Filehostern wie Dropbox und Google Drive können so abgegriffen werden, mit sämtlichen Risiken für die dahinter liegenden Daten und Informationen.

Schuld hat das System!

Grund für die Anfälligkeit sei übrigens die gültige WPAD-Spezifikation von 1999 – einfache Gegenmaßnahmen über das Betriebssystem oder Browser-Entwicklung daher nicht möglich.

Der beste Schutz biete – neben der De-Aktivierung des WPAD – derzeit noch Microsofts Edge and Internet Explorer 11 Browser, die Protokolldaten auf ein Minimum, nämlich den Host Namen, beschränken, der ohnehin offen ist.

Der Vortrag zum Thema von SafeBreach CRIPPLING HTTPS WITH UNHOLY PAC ist für den 3. August angekündigt – wir sind gespannt!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.