Technologie

Black Hat USA: Downgrade-Angriff auf Let’s Encrypt senkt die Messlatte für den Druck betrügerischer SSL-Zertifikate

John Leyden 06. August 2021 um 14:51 UTC

Aktualisiert: 06. August 2021 um 14:54 UTC

Deutsche Forscher umgehen wichtige Web-Sicherheitsmechanismen

Sicherheitslücken im Mechanismus, der von Lets Encrypt zur Validierung des Domänenbesitzes verwendet wird, ermöglichten es den Forschern, diese Überprüfungen zu umgehen

Sicherheitslücken im Mechanismus, der von Let’s Encrypt verwendet wird, um den Besitz einer Web-Domain zu validieren, schaffen eine Lücke, die es Cyberkriminellen erleichtert, digitale Zertifikate für Domains zu erhalten.

Ein Forscherteam um Haya Shulman, Leiterin der Abteilung Cybersecurity Analytics and Defense am Fraunhofer-Institut für Sichere Informationstechnologie in Deutschland, entdeckte eine Hacking-Technik, mit der sie die Domain-Validierungstechnologie Let’s Encrypt umgehen konnten.

Bleiben Sie auf dem Laufenden mit den neuesten Nachrichten und Analysen zur Verschlüsselung

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die Domaininhabern SSL-Zertifikate zur Verfügung stellt, die zur Authentifizierung von Websites mit HTTPS verwendet werden.

von der Organisation verteilte Domänenvalidierungstechnologie, eingeführt im Februar 2020, ist eine Reaktion auf frühere Angriffe und soll Manipulator-in-the-Middle-Angriffe vereiteln.

Shulman und ihr Team zeigten, dass die Technologie für irgendeine Form von Downgrade-Angriffen anfällig ist, zum Teil, weil die Art und Weise, wie “Ausguck die Nameserver in Zieldomänen auswählen, von einem entfernten Gegner manipuliert werden kann”.

Eine weitere Schwäche der Technologie besteht darin, dass die Aussichtspunkte aus einer kleinen, festen Menge ausgewählt werden.

Die Forschungsergebnisse wurden am Mittwoch (5. August) während einer Sitzung auf der Konferenz von Black Hat USA vorgestellt.

Bluff es durch

Die Downgrade-Angriffe untergraben ein “Mehrfachansicht auf mehrere Nameserver”-System, indem sie es auf “Mehrfachansicht auf einen einzelnen vom Angreifer ausgewählten Nameserver” reduzieren.

In Tests fanden die Forscher heraus, dass Angreifer Angriffe auf eine von vier (24,53 %) Domänen starten konnten.

Ein von den Forschern entwickelter automatisierter Off-Path-Angriff, der auf diese anfällige Untergruppe von Domänen abzielte, konnte betrügerische Zertifikate für mehr als 107.000 Domänen erhalten, etwa eine von 10 (10 %) der eine Million getesteten Domänen.

READ  Der Roboterarm von InSight hilft beim Entfernen von Staub auf dem Solarpanel, Sand tropft im Wind

Die Forscher bewerteten auch die Wirksamkeit ihrer Angriffe auf andere führende Zertifizierungsstellen und stellten fest, dass die von ihnen entwickelten Techniken die Sicherheitsvorteile beseitigt hatten, die Let’s Encrypt sonst gehabt hätte.

DAS KANN IHR AUCH GEFALLEN HTTP/2-Fehler setzen Unternehmen einer neuen Welle von Anfragen nach Schmuggelangriffen aus

Verena Holland

Freundlicher Social-Media-Fan. Leidenschaftlicher Internetaholic. Stolzer Reiseguru. Unruhestifter.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back to top button
Close
Close