Neue OpenSSL-Lücke CVE-2015-1793: Wie schlimm ist es wirklich?

Durch die Schwachstelle in OpenSSL könnten Angreifer mit gefälschten oder nicht signierten Zertifikaten eine vertrauenswürdige Verbindung vortäuschen.

Die Vorankündigung des OpenSSL-Projektteams vom 6. Juli 2015 stufte die neue Schwachstelle bereits als „high severity“ ein, also mit einem hohen Schweregrad. Eine Sicherheitslücke, die es zu etwas bringen will, braucht außerdem einen griffigen Nicknamen: Heartbleed, ShellShock oder POODLE sind Beispiele. Die neue OpenSSL-Schachstelle muss sich dagegen mit der üblichen kryptischen Bezeichnung CVE-2015-1793 begnügen. Mehr Infos zum CVE-Identifier finden Sie hier.

Also kein Kosename für CVE-2015-1793 in den Medien, der hohe Schweregrad ist aber auch im endgültigen Open SSL Security Advisory vom 9. Juli 2015 geblieben. Betroffen sind glücklicherweise nur die vier OpenSSL-Versionen 1.0.2c, 1.0.2b, 1.0.1n und 1.0.1o. Als Abhilfe für den Certificate Verification Bug empfiehlt das Projektteam für OpenSSL 1.0.2b/1.0.2c ein Upgrade auf 1.0.2d und für OpenSSL 1.0.1n/1.0.1o ein Upgrade auf 1.0.1p.

„Die Problematik der aktuell entdeckten Sicherheitslücke bei OpenSSL ist kurz erklärt: OpenSSL kann Fehler beim Verifizieren von Zertifikaten machen, etwa wenn es darum geht, ob diese von einer vertrauenswürdigen Certificate Authority kommen. Faktisch kann also der Mechanismus der Certificate Authority, der die Echtheit von Endpoint-Services bestätigt, durch diese Sicherheitslücke umgangen werden.“, erklärt Tod Beardsley, Security Engineering Manager bei Rapid7.

Die neue Schwachstelle ist kein Heartbleed-Supergau

Im Gegensatz zu Heartbleed sorgt CVE-2015-1793 für wenig Herzschmerz bei Security-Experten. „Ich bezweifle, dass viele Systeme diese sehr aktuellen Versionen verwenden. Das wird nur Menschen beeinflussen, die die neueste Version von OpenSSL aktiv nutzen, und das ist eine sehr kleine Zahl. Allerdings könnte der Fehler sicher geglaubte Kommunikation offen für das Abhören durch Dritte machen.“ meint Cris Thomas, Stratege bei Tenable Network Security.

„Onlinegauner können keine vertraulichen Daten von den Servern abziehen, wie es bei Heartbleed Fall war. Sie können auch nicht beliebig im TLS-Netzwerkverkehr herumschnüffeln und in der Folge die Verschlüsselung knacken. Zudem ist es auch nicht möglich, aufgrund des Bugs Malware-Pakete zu versenden und in Web-, Email- oder andere OpenSSL-geschützen Server einzudringen.“, erklärt Sascha Pfeiffer, Principle Security Consultant bei Sophos.

Gefälschte Zertifikate sind gefährlich

Pfeiffer weiter: „Stellen sie sich vor, ein Cyberkrimineller fälscht die von ihnen favorisierte Social-Networking-Seite und bringt sie dazu, ihre Log-in-Daten einzugeben. Das ist ein altbekannter Trick namens Phishing. Vorsichtige Nutzer können sich vor solchen Attacken schützen, indem sie auf das HTTPS-Schloss achten und die Vertrauenskette überprüfen. Normalerweise haben eben jene Fake-Seiten nämlich keine Zertifikate und können deshalb leicht als Fälschung enttarnt werden. Wenn der Browser allerdings gefälschte Zertifikate aufgrund eines Certificate Verification Bugs akzeptiert, laufen Nutzer, die sich auf HTTPS verlassen, ahnungslos in die Falle.“

Pfeiffer zur Bedeutung für Server: „Allerdings erfolgt die Zertifikatverifizierung hauptsächlich über Client-Programme wie zum Beispiel Internetbrowser, wenn sie sich mit gesicherten Servern verbinden. Das macht CVE-2015-1793 eher zu einem Client-Bug. Er beeinflusst also die Software, die für die Verbindung zuständig ist, nicht die Software, zu der die Verbindung hergestellt wird. Allerdings kann es natürlich gut sein, dass sie Server in ihrem Netzwerk haben, die auch als Client agieren und sich mit anderen Servern verbinden, um Updates herunterzuladen oder Daten zu synchronisieren. Es ist also unbedingt empfehlenswert, Desktop-Computer und Server gleichzeitig zu patchen.“

Apps sind möglicherweise anfällig für CVE-2015-1793

Der Fehler existiert glücklicherweise nur in vier Versionen von OpenSSL und kann nur ausgenutzt werden, wenn Browser oder Benutzeranwendungen eine anfällige OpenSSL-Version zur Zertifikatsprüfung verwenden.

Das bedeutet, dass die Nutzer von Google Chrome, Mozilla Firefox, Microsoft Internet Explorer und Apple iOS sicher sind, da diese standardmäßig nicht OpenSSL einsetzen.

Obwohl einige Versionen von Android OpenSSL verwenden, ist das mobile Betriebssystem laut dem Google-Kryptographie-Ingenieur Adam Langley nicht von der Schwachstelle betroffen.

Allerdings verwenden mobile Apps und Computerprogramme oft ihren eigenen Code für die Überprüfung von Zertifikaten und könnten daher anfällig sein - auch wenn sie auf einem Betriebssystem laufen, das OpenSSL nicht verwendet.

Ivan Ristic, Director of Engineering bei Qualys warnt auch, dass es viele serverartige Tools gibt, die OpenSSL für Client-Operationen einsetzen könnten.

„Anders als bei anderen Schwachstellen, sind hier Anwendungen betroffen, die Zertifikate überall validieren. Böswillige Akteure haben erkannt, dass Unternehmen Zertifizierungsbehörden blind vertrauen, und dass der einfachste, schnellste und effektivste Weg, Malware in Unternehmensnetzwerke einzuschleusen, die Signierung der Malware mit kompromittierten oder gestohlenen digitalen Zertifikaten ist.“, kommentiert Kevin Bocek, VP Sicherheitsstrategie und Threat Intelligence bei Venafi.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PKI und digitale Zertifikate

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close