John Leyden 06. August 2021 um 14:51 UTC
Aktualisiert: 06. August 2021 um 14:54 UTC
Deutsche Forscher umgehen wichtige Web-Sicherheitsmechanismen
Sicherheitslücken im Mechanismus, der von Let’s Encrypt verwendet wird, um den Besitz einer Web-Domain zu validieren, schaffen eine Lücke, die es Cyberkriminellen erleichtert, digitale Zertifikate für Domains zu erhalten.
Ein Forscherteam um Haya Shulman, Leiterin der Abteilung Cybersecurity Analytics and Defense am Fraunhofer-Institut für Sichere Informationstechnologie in Deutschland, entdeckte eine Hacking-Technik, mit der sie die Domain-Validierungstechnologie Let’s Encrypt umgehen konnten.
Bleiben Sie auf dem Laufenden mit den neuesten Nachrichten und Analysen zur Verschlüsselung
Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die Domaininhabern SSL-Zertifikate zur Verfügung stellt, die zur Authentifizierung von Websites mit HTTPS verwendet werden.
von der Organisation verteilte Domänenvalidierungstechnologie, eingeführt im Februar 2020, ist eine Reaktion auf frühere Angriffe und soll Manipulator-in-the-Middle-Angriffe vereiteln.
Shulman und ihr Team zeigten, dass die Technologie für irgendeine Form von Downgrade-Angriffen anfällig ist, zum Teil, weil die Art und Weise, wie „Ausguck die Nameserver in Zieldomänen auswählen, von einem entfernten Gegner manipuliert werden kann“.
Eine weitere Schwäche der Technologie besteht darin, dass die Aussichtspunkte aus einer kleinen, festen Menge ausgewählt werden.
Die Forschungsergebnisse wurden am Mittwoch (5. August) während einer Sitzung auf der Konferenz von Black Hat USA vorgestellt.
Bluff es durch
Die Downgrade-Angriffe untergraben ein „Mehrfachansicht auf mehrere Nameserver“-System, indem sie es auf „Mehrfachansicht auf einen einzelnen vom Angreifer ausgewählten Nameserver“ reduzieren.
In Tests fanden die Forscher heraus, dass Angreifer Angriffe auf eine von vier (24,53 %) Domänen starten konnten.
Ein von den Forschern entwickelter automatisierter Off-Path-Angriff, der auf diese anfällige Untergruppe von Domänen abzielte, konnte betrügerische Zertifikate für mehr als 107.000 Domänen erhalten, etwa eine von 10 (10 %) der eine Million getesteten Domänen.
Die Forscher bewerteten auch die Wirksamkeit ihrer Angriffe auf andere führende Zertifizierungsstellen und stellten fest, dass die von ihnen entwickelten Techniken die Sicherheitsvorteile beseitigt hatten, die Let’s Encrypt sonst gehabt hätte.
DAS KANN IHR AUCH GEFALLEN HTTP/2-Fehler setzen Unternehmen einer neuen Welle von Anfragen nach Schmuggelangriffen aus
