Black Hat USA: Der Herabstufungsangriff Let’s Encrypt senkt die Messlatte für den Druck betrügerischer SSL-Zertifikate
John Leyden 06. August 2021 um 14:51 UTC
Aktualisiert: 06. August 2021 um 14:54 UTC
Deutsche Forscher umgehen wichtige Web-Sicherheitsmechanismen
Sicherheitslücken in dem Mechanismus, den Let’s Encrypt verwendet, um den Besitz von Web-Domains zu validieren, führen zu einer Schwachstelle, die es Cyberkriminellen erleichtert, digitale Zertifikate für Domains zu erhalten.
Ein Forscherteam um Haya Shulman, Leiterin der Abteilung Cybersecurity Analytics and Defense am Fraunhofer-Institut für Sichere Informationstechnologie in Deutschland, entdeckte eine Hacking-Technik, mit der sie die Domain-Validierungstechnologie Let’s Encrypt umgehen konnten.
Bleiben Sie auf dem Laufenden mit den neuesten Nachrichten und Analysen zum Thema Verschlüsselung
Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die Domainbesitzern SSL-Zertifikate zur Verfügung stellt, die zur Authentifizierung von Websites mit HTTPS verwendet werden.
Die Organisation verteilte Domänenvalidierungstechnologie, eingeführt im Februar 2020, ist eine Reaktion auf frühere Angriffe, soll Angriffe mittlerer Manipulatoren vereiteln.
Shulman und sein Team haben gezeigt, dass die Technologie für irgendeine Form von Herabstufungsangriffen anfällig ist, zum Teil weil die Art und Weise, wie “Aussichtspunkte Nameserver in Zieldomänen auswählen, von einem entfernten Gegner manipuliert werden kann”.
Eine weitere Schwäche der Technologie besteht darin, dass die Ansichten aus einem kleinen festen Satz ausgewählt werden.
Die Forschungsergebnisse wurden in einer Sitzung auf der Konferenz von Black Hat USA am Mittwoch, den 5. August, vorgestellt.
Tu so, bis du es tust
Downgrade-Angriffe dienen dazu, ein System mit “mehreren Ansichten auf mehreren Nameservern” zu untergraben, indem sie es auf “mehrere Ansichten auf einem einzigen, vom Angreifer ausgewählten Nameserver” reduzieren.
Bei Tests fanden die Forscher heraus, dass Angreifer Angriffe gegen jede vierte Domain (24,53%) starten konnten.
Ein von Forschern entwickelter automatisierter Off-Path-Angriff, der auf diese anfällige Untergruppe von Domains abzielt, hat erfolgreich betrügerische Zertifikate für mehr als 107.000 Domains erhalten, was etwa einer von 10 (10 %) der Millionen getesteten Domains entspricht.
Die Forscher bewerteten auch die Wirksamkeit ihrer Angriffe gegen andere führende Zertifizierungsstellen und stellten fest, dass die von ihnen entwickelten Techniken die Sicherheitsvorteile beseitigt hatten, die Let’s Encrypt sonst genossen hätte.
SIE KÖNNEN AUCH MÖGEN HTTP/2-Fehler setzen Unternehmen einer neuen Welle von Angriffen auf den Schmuggel von Anfragen aus
Total Student. Web-Guru. Kaffee-Enthusiast. Leser. Nicht entschuldigender Organisator. Bieranwalt.”