websites

Beveiliging Pro zegt dat nieuwe SSL-aanval vele sites kan treffen

Een computerconsultant in Seattle zegt dat hij een nieuwe manier heeft ontwikkeld om een ​​recentelijk beschreven bug in het SSL-protocol te exploiteren, die wordt gebruikt om communicatie op internet te beveiligen. De aanval, hoewel moeilijk uit te voeren, zou aanvallers een zeer krachtige phishing-aanval kunnen bezorgen.

Frank Heidt, CEO van Leviathan Security Group, zegt dat zijn "generieke" proof-of-concept code kan worden gebruikt om een ​​verscheidenheid aan websites aan te vallen . Hoewel de aanval extreem moeilijk is om te doen - de hacker zou eerst eerst een man-in-the-middle aanval moeten uitvoeren, met code die het netwerk van het slachtoffer compromitteert - dit zou verwoestende gevolgen kunnen hebben.

De aanval exploiteert de SSL (Secure Sockets Layer) Authentication Gap-bug, voor het eerst bekendgemaakt op 5 november. Een van de ontdekkers van de SSL-bug, Marsh Ray van PhoneFactor, zegt dat hij een demonstratie van de aanval van Heidt heeft gezien, en hij is ervan overtuigd dat het zou kunnen werken. "Hij heeft het mij laten zien en het is de real deal", zei Ray.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

De SSL-authenticatiefout geeft de aanvaller een manier om de verzonden gegevens te veranderen naar de SSL-server, maar er is nog steeds geen manier om de informatie die terugkomt te lezen. Heidt verzendt gegevens die ervoor zorgen dat de SSL-server een omleidingsbericht retourneert dat vervolgens de webbrowser naar een andere pagina verzendt. Vervolgens gebruikt hij dat omleidingsbericht om het slachtoffer naar een onbeveiligde verbinding te verplaatsen, waar de webpagina's door Heidt's computer kunnen worden herschreven voordat ze naar het slachtoffer worden verzonden.

"Frank heeft een manier getoond om gebruik te maken van deze blinde injectie voor onverdunde tekstinjectie in een compleet compromis van de verbinding tussen de browser en de beveiligde site, "zei Ray.

Een consortium van internetbedrijven heeft gewerkt aan het probleem, omdat de ontwikkelaars van PhoneFactor dit enkele maanden geleden voor het eerst hebben ontdekt. Hun werk kreeg nieuwe urgentie toen de bug per abuis op een discussielijst werd bekendgemaakt. Beveiligingsexperts debatteren over de ernst van deze nieuwste SSL-fout sinds het bekend werd.

Afgelopen week liet IBM-onderzoeker Anil Kurmus zien hoe de fout gebruikt kon worden om browsers te misleiden tot het verzenden van Twitter-berichten die gebruikerswachtwoorden bevatten.

Deze laatste aanval laat zien dat de fout kan worden gebruikt om allerlei soorten gevoelige informatie van beveiligde websites te stelen, zei Heidt.

Om kwetsbaar te zijn, moeten sites iets doen met de naam heronderhandeling van de klant onder SSL en ook om een ​​element op hun website te hebben. beveiligde webpagina's die een bepaald 302-omleidingsbericht kunnen genereren.

Veel spraakmakende websites voor bankieren en e-commerce zullen dit 302-omleidingsbericht niet terugsturen op een manier die kan worden misbruikt, maar een "groot aantal" websites kan worden aangevallen, Heidt zei.

Met zoveel websites die het risico lopen om de fout te maken, zegt Heidt dat hij niet van plan is om zijn code onmiddellijk vrij te geven. browser nee nger ziet eruit alsof het verbonden is met een SSL-site. De aanval lijkt op de SSL Strip-aanval die eerder dit jaar door Moxie Marlinspike [cq] op een veiligheidsconferentie werd getoond.

Leviathan Security Group heeft een tool ontwikkeld die webmasters kunnen gebruiken om te zien of hun sites kwetsbaar zijn voor een SSL-authenticatiegesprek aanval. Omdat SSL, en zijn vervangende standaard, TLS, worden gebruikt in een breed scala van internettechnologieën, heeft de bug verreikende gevolgen. Thierry Zoller, een beveiligingsadviseur bij G-Sec, zegt dat theoretisch, de fout kan worden gebruikt om mailservers aan te vallen. "Een aanvaller kan potentieel highjack-e-mails verzenden via beveiligde SMTP [Simple Mail Transfer Protocol] -verbindingen, zelfs als deze worden geverifieerd door een privécertificaat," zei hij in een onmiddellijk berichtinterview.

Zoller, die Leviathan's code niet heeft gezien, zei dat als de aanval werkt zoals geadverteerd, het slechts een kwestie van dagen zal duren voordat iemand anders weet hoe het moet.