Login Sign up
EN

Was ist ein Downgrade-Angriff und wie kann man ihn verhindern?

Jul 19, 2022
8 min read
Borislav Kiprin

  1. Definition eines Downgrade-Angriffs
  2. Arten von TLS-Downgrade-Angriffen
  3. Verhinderung von Downgrade-Angriffen
  4. Häufig gestellte Fragen
Erkennen Sie Schwachstellen für Downgrade-Angriffe in Ihren Webanwendungen und APIs
Jetzt kostenlos testen

Downgrade-Angriffe sind ein Problem bei TLS- und SSL-Protokollen und können ein ernsthaftes Risiko darstellen, wenn sie unerkannt bleiben. 

Im Folgenden erfahren Sie mehr über Downgrade-Angriffe, wie sie funktionieren und wie Sie sie verhindern können.

Definition eines Downgrade-Angriffs

Ein Downgrade-Angriff ist ein Angriff, bei dem versucht wird, eine Verbindung, ein Protokoll oder einen kryptografischen Algorithmus auf eine ältere und weniger sichere Version zurückzusetzen. Er wird auch als Versions-Rollback-Angriff oder Bidding-Down-Angriff bezeichnet. 

Dieser Angriff zielt darauf ab, die Ausnutzung von Schwachstellen zu ermöglichen, die mit früheren Versionen verbunden sind. Er wird durch Abwärtskompatibilität ermöglicht – das Prinzip der Gewährleistung der Interoperabilität mit älteren Servern. Ist ein Downgrade-Angriff erfolgreich, ermöglicht er weitere Angriffe und kann zum Diebstahl von Daten führen, darunter Anmeldedaten, persönliche finanzielle und medizinische Daten und vieles mehr.

Downgrade-Angriffe richten sich häufig gegen die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), deren Zweck es ist, den Datenverkehr über das Internet durch Kryptographie zu sichern. 

Downgrade-Angriffe zielen darauf ab, die Verwendung von HTTPS in Webanwendungen auf HTTP herabzustufen, auf die hier jedoch nicht näher eingegangen werden soll. Sie können auch gegen Mailserver eingesetzt werden, um deren Verschlüsselungsprotokolle wie STARTTLS herabzustufen und den Versand von E-Mails im Klartext zu erzwingen.  

Lesen Sie unseren Blog-Beitrag Was sind TLS, SSL, HTTP und HTTPS?, um mehr über die Beziehung zwischen den SSL/TLS-Protokollen und HTTP/HTTPS zu erfahren.

Wie funktioniert ein Downgrade-Angriff?

In der Regel ist ein Downgrade-Angriff Teil eines größeren Angriffsszenarios, da das Downgrade an sich nicht zu einer Systemgefährdung führt. Er schafft günstige Bedingungen (Vektoren) für weitere Angriffe, wie z. B. kryptografische Angriffe.

Ein gängiger Ansatz besteht darin, die Herabstufung über einen Man-in-the-Middle-Angriff (MITM) zu erreichen. Dies ermöglicht es den Angreifern, in den Datenverkehr des Nutzers einzugreifen. Danach nutzen sie ihre Position in der Mitte, um den Server zu zwingen, auf eine ältere TLS- oder SSL-Version des Protokolls herunterzustufen – auch als Downgrade-Tanz bekannt.

Je nach den Besonderheiten des Angriffs kann ein MITM verwendet werden, um den Datenverkehr zwischen einem Client und einem Server passiv abzuhören, sobald die Herabstufung erfolgt ist. Gleichzeitig kann er aber auch aktiv in den Datenverkehr eingreifen und verschiedene Anfragen an den Server senden, um den kryptografischen Schlüssel, das Sitzungs-Cookie oder etwas anderes zu entschlüsseln.

Dies ist nur ein mögliches Szenario für die Ausnutzung der Schwachstellen, die eine herabgestufte Protokollversion aufweist. Im Folgenden erfahren Sie mehr über die verschiedenen Arten von Downgrade-Angriffen.

Arten von TLS-Downgrade-Angriffen

Nachfolgend werden einige der wichtigsten Arten von Angriffen beschrieben, die eine Herabstufung nutzen könnten, um ihre Ziele zu erreichen. 

Ob ein Downgrade erforderlich ist, hängt vom Status des Ziels ab – wenn ein System bereits alte oder veraltete Protokollversionen verwendet (was zumindest alle Versionen von SSL einschließt), ist ein Downgrade nicht erforderlich. Dies ist jedoch weniger wahrscheinlich, so dass ein Downgrade-Angriff in der Regel Teil der unten aufgeführten Szenarien ist

POODLE

Der POODLE-Angriff (Padding Oracle On Downgraded Legacy Encryption) nutzt einen Protokoll-Downgrade-Angriff als Teil seines Szenarios. Er basiert auf einem MITM-Ansatz, bei dem ein Benutzer dazu gebracht wird, ein bösartiges JavaScript oder eine andere Art von bösartigem Code über seinen Browser auszuführen.

Die Ausführung des Codes ermöglicht es dem Angreifer, sich in die Mitte zu stellen und Anfragen an einen Server zu senden, der eine Version von TLS verwendet, um eine sichere Verbindung herzustellen, und diese Versuche dann abzubrechen. Wenn der Server SSL aus Gründen der Abwärtskompatibilität unterstützt, wird er diese erfolglosen Verbindungsversuche nach einer Weile als Hinweis darauf interpretieren, dass er zu SSL 3.0 anstelle von TLS wechseln sollte. 

Sobald er die Version herabgestuft hat, kann der Angreifer dazu übergehen, eine Schwachstelle auszunutzen, die im Cipher-Block-Chaining-Modus (CBC) der Verschlüsselung gefunden wurde, der in SSL 3.0 verwendet wird. 

In diesem Stadium umfasst ein Padding-Orakel-Angriff das Senden von Anfragen mit unterschiedlichen Eingaben an den Server und die Überwachung seiner Antworten. Anhand der Antworten kann ein Angreifer langsam den verschlüsselten Inhalt des Chiffriertextes aufdecken. Dadurch wird das Sitzungs-Cookie aufgedeckt, die Sitzung eines Benutzers entführt und möglicherweise dessen Anmeldeinformationen und Daten gestohlen.

FREAK

Der FREAK-Angriff (Factoring RSA Export Keys) nutzt ein MITM- und ein Downgrade-Angriffsszenario. Er richtet sich gegen TLS- und SSL-Implementierungen, die RSA-Verschlüsselungen in Exportqualität zulassen.

Anstatt die gesamte Protokollversion herabzustufen, nutzen die Angreifer ihre Position zwischen Client und Browser, um den Server aufzufordern, von einer Standard-RSA-Chiffre-Suite zu einer Export-Grade-Suite zu wechseln. Dies geschieht als Teil des Aushandlungsprozesses der Verschlüsselungssuite in der Hello-Nachricht des Clients an den Server.

Sobald der Server zu dieser weniger sicheren Chiffriersuite wechselt, können Angreifer Zugriff auf den Entschlüsselungsschlüssel der Suite erlangen und den Datenverkehr entschlüsseln und einspeisen.

LogJam

Die LogJam-Schwachstelle funktioniert ähnlich wie FREAK. Dieser Angriff richtet sich gegen Server, die TLS mit einem Diffie-Hellman-Schlüsselaustausch verwenden. Mithilfe eines Man-in-the-Middle-Ansatzes zwingen die Angreifer das TLS-Protokoll des Servers dazu, auf einen 512-Bit-Diffie-Hellman-Schlüsselaustauschalgorithmus der Exportklasse (d. h. DHE_EXPORT) umzuschalten.

Nachdem er die Herabstufung veranlasst hat, kann ein Angreifer die Verschlüsselungsparameter knacken und so Zugang und Kontrolle über die Verbindung erlangen.

BEAST

Der BEAST-Angriff (Browser Exploit Against SSL/TLS) zielt darauf ab, eine im CBC-Modus der Protokolle TLS 1.0 und SSL gefundene Schwachstelle auszunutzen. Er ähnelt dem POODLE-Angriff, obwohl die Bedingungen, die für eine erfolgreiche Ausführung von BEAST erforderlich sind, schwierig, wenn nicht gar unmöglich zu erreichen sind, was ihn zu einem unpraktischen Angriff macht. 

Wie andere Angriffe in dieser Kategorie beruht BEAST auf einem Man-in-the-Middle-Eingriff, der eine Herabstufung des Protokolls bewirkt. Danach führen die Angreifer ein Record-Splitting durch, d. h. sie greifen in den Datenverkehr zwischen Client und Server ein. Sie injizieren Datenblöcke, die die Grenzen der Chiffrierblöcke manipulieren, in die Sitzung und beobachten die Antwort des Servers. Anhand der Antwort können sie langsam den Inhalt der Chiffriertextblöcke erraten, die zwischen dem Server und dem Client ausgetauscht werden, ohne den Verschlüsselungsschlüssel zu kennen.

SLOTH

SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes) ist ein Angriff, der auf die Signatur- und Hash-Algorithmen abzielt und sie auf eine schwächere Version herabstuft. Dadurch können Angreifer den Datenverkehr abfangen und relativ leicht entschlüsseln. 

Dieser Angriff kann unabhängig voneinander oder gemeinsam gegen einen Client und einen Server gerichtet werden. Wie andere oben beschriebene Angriffe beruht auch dieser auf einem Man-in-the-Middle, der sowohl die Herabstufung als auch die anschließende Störung des Datenverkehrs vornimmt.

Präventionsleitfaden für SSL/TLS-Schwachstellen

Leitfaden

Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.

Mehr erfahren

Verhinderung von Downgrade-Angriffen

Um einen Downgrade-Angriff zu verhindern, müssen Sie den Angriffsvektor beseitigen. Wenn die Schwachstelle auf die Unterstützung von Export-Grade-Chiffren zurückzuführen ist, besteht eine geeignete Maßnahme darin, die Unterstützung dieser Chiffren einzustellen. Steht die Schwachstelle hingegen im Zusammenhang mit der Unterstützung früherer TLS- oder SSL-Versionen, so muss dies behoben werden.

Die Implementierung einer sicheren und stabilen TLS-Konfiguration ist eine der besten Maßnahmen, die Sie ergreifen können, um eine Vielzahl von Ursachen zu beseitigen, die zu einem Downgrade-Angriff führen können. Dazu gehört, dass nur starke Protokolle wie TLS 1.2 und 1.3 (d. h. die Abwärtskompatibilität wird aufgehoben) und solide Chiffren ohne bekannte Downgrade-Schwachstellen unterstützt werden.

Die Aktivierung des TLS_FALLBACK_SCSV-Signals als Teil Ihrer TLS-Konfiguration ist ein weiterer guter Schritt, um Downgrade-Angriffe zu verhindern. Angenommen, Sie entscheiden sich für die Unterstützung niedrigerer Protokollversionen. In diesem Fall wird dies Ihren Server daran hindern, sein Protokoll herabzustufen, wenn der Client ihn mit einer höheren Version treffen kann, aber eine niedrigere Version anzeigt (möglicherweise aufgrund von Man-in-the-Middle-Interferenzen).

Häufig gestellte Fragen

Was ist ein Downgrade-Angriff?

Ein Downgrade-Angriff ist ein Szenario, in dem ein böswilliger Akteur versucht, einen Server oder Client zu zwingen, eine niedrigere Version eines kryptografischen Protokolls (z. B. TLS oder SSL), eine Cipher Suite (z. B. eine Export-Grade-Cipher anstelle einer Standard-Cipher) oder einen Verbindungstyp (HTTP anstelle von HTTPS) zu verwenden.

Wie funktionieren Downgrade-Angriffe?

Ein typisches Szenario ist, dass sich Angreifer als Man-in-the-Middle (MITM) positionieren und den Datenverkehr zwischen Clients und Servern stören. Sie können versuchen, einen Server oder Client dazu zu bringen, die Version eines Protokolls oder einer Verschlüsselung herabzustufen. Sobald die Herabstufung erfolgreich ist, nutzen sie die mit der niedrigeren Version verbundenen Schwachstellen aus.

Wie kann man sich gegen Downgrade-Angriffe schützen?

Die Deaktivierung von Abwärtskompatibilität und die Implementierung einer sicheren und starken TLS-Konfiguration ist eine der besten Maßnahmen, die Sie zum Schutz vor Downgrade-Angriffen ergreifen können. Die Implementierung von TLS_FALLBACK_SCSV ist auch sehr nützlich, wenn Sie sich für die Unterstützung älterer Protokollversionen entscheiden.

Auf welche SSL-Version werden Clients beim POODLE-Angriff herabgestuft?

Der POODLE-Angriff versucht, Server und Clients speziell auf SSL 3.0 herunterzustufen, obwohl neuere Versionen des Angriffs auch gegen CBC in TLS 1.0 – 1.2 eingesetzt werden können.

Get a quick security report for your website for free now

We are analyzing https://example.com
Scanning target https://example.com
Scan status: In progress
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Date: 30/11/2023
Crashtest Security Suite will be checking for:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Complete your scan request
Please fill in your details receive the
quick security audit by email.
Security specialist is analyzing your scan report.
То verify your identity please provide your phone/mobile:
Thank you.
We have received your request.
As soon as your security audit is ready, we will notify you.

crashtest security veracode thumb de 1 Veracode übernimmt deutschen Softwarehersteller Crashtest Security
Dez 12, 2022
3 min read
Veracode übernimmt deutschen Softwarehersteller Crashtest Security
gespeicherte CSRF-Schwachstelle
Nov 29, 2022
10 min read
Was ist eine gespeicherte CSRF-Schwachstelle?
Javascript-Injektion-Angriff
Nov 28, 2022
8 min read
Was ist ein Javascript-Injektion-Angriff und wie wird er durchgeführt?
Vertrauenswürdige Zertifikate
Nov 25, 2022
8 min read
Vertrauenswürdige Zertifikate und wie werden sie konfiguriert