Alpaca-Attacke: Angreifer könnten mit TLS gesicherte Verbindungen attackieren

Sicherheitsforscher zeigen theoretische Attacken auf TLS-Verbindungen. Angreifer könnten beispielsweise Sessions kapern.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: bluebay/Shutterstock.com)

Update
Von
  • Dennis Schirrmacher

Angreifer könnten via Transport Layer Security (TLS) verschlüsselte Datenübertragungen im Internet attackieren und beispielsweise Cookies extrahieren oder JavaScript im Browser im Kontext des Webservers ausführen. Der Grund dafür ist die Cross-Protokoll-Schwäche von TLS. Die Verschlüsselung der Verbindung bleibt bei einer Attacke aber unangetastet.

Auf einer Website beschreiben mehrere Sicherheitsforscher der Ruhr Universität Bochum, wie Angriffe aussehen könnten. Ihre Attacke haben sie "Alpaca" (application layer protocols allowing cross-protocol attacks) getauft. Hintergrund ist, dass TLS bei der Datenübertragung nicht zwischen Protokollen unterscheidet. So garantiert TLS zwar die Integrität eines Servers, aber nicht die einer TCP-Verbindung.

An dieser Stelle könnten Angreifer für eine Confusion-Attacke ansetzen und so unterschiedliche Protokolle miteinander reden lassen. So wäre es vorstellbar, zum Beispiel Traffic innerhalb einer gültigen TLS-Session umzuleiten. Theoretisch könnten das mit Protokollen wie FTP, IMAP, POP3 und SMTP funktionieren. Demzufolge sind E-Mail-, FTP- und Web-Server gefährdet.

Unter Laborbedingungen konnten die Sicherheitsforscher eigenen Angaben zufolge erfolgreiche Attacken im Zusammenspiel von Webbrowsern und E-Mail- und FTP-Servern auslösen. So extrahierten sie etwa Authentifzierungs-Cookies. Es sollen auch XSS-Attacken (stored, reflected) möglich sein.

Den Experten zufolge hängen erfolgreiche Attacken aber von vielen Faktoren ab und die Ausführung soll eine Herausforderung sein. Eine Voraussetzung ist, dass ein Angreifer bereits als Man-in-the-Middle Zugriff auf eine Verbindung hat. Außerdem gilt: Nur wenn der Domainname einer Website identisch mit dem eines E-Mail- oder FTP-Servers ist, kommt eine gültige TLS-Verbindung zustande. Ausführliche Informationen führen die Sicherheitsforscher in einem umfangreichen Bericht aus.

Die Sicherheitsforscher stufen das Risiko von Attacken derzeit als nicht sehr hoch ein. Dennoch warnen sie davor, dass diese oder ähnliche Attacken beim vermehrten Einsatz von TLS in Zukunft für Sicherheitsprobleme sorgen könnten.

Admins können ihre Server schon jetzt davor schützen, indem sie beispielsweise die TLS-Erweiterung Application Layer Protocol Negitiation (ALPN) aktivieren. Der Ansatz sorgt dafür, dass Client und Server sich bei den Protokollen abstimmen. Kommt ein nicht erlaubtes Protokoll zum Einsatz, kann ALPN Verbindungen abbrechen und so Cross-Protokoll-Angriffe verhindern.

[UPDATE 10.06.2021 09:10 Uhr]

Auswirkungen von Attacken im ersten Absatz präzisiert.

(des)