EN

Was ist die DROWN-Schwachstelle und wie kann sie verhindert werden?

In diesem Artikel:

Die RSA-Entschlüsselung aufgrund von obsoleter und geschwächter Verschlüsselung (DROWN) ist ein protokollübergreifender Angriff, der eine Sicherheitslücke in der SSLv2-Protokollversion ausnutzt. Konkret handelt es sich um eine Version des Bleichenbacher RSA-Padding-Orakel-Angriffs. 

DROWN kann auch gegen moderne Server eingesetzt werden, die das Verschlüsselungsprotokoll SSLv3 oder TLS verwenden, aber noch das veraltete Protokoll unterstützen, wenn beide Protokolle denselben öffentlichen Schlüssel verwenden. Die Schwachstelle ist auch dann vorhanden, wenn dasselbe Zertifikat des öffentlichen Schlüssels auf einem anderen SSLv2-Server verwendet wird.

Wenn ein DROWN-Angriff erfolgreich ist, kann er dazu führen, dass sensible Kommunikation und Daten wie E-Mails, Sofortnachrichten, persönliche Authentifizierungsdaten und Finanzdaten wie Kreditkartennummern gelesen und gestohlen werden.

Sicherheitsbewertung des DROWN-Angriffs

Security Assessment Prevent SSL DROWN

CVSS-Vektor: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Informationen zur SSL-Schwachstelle DROWN

Der DROWN-Angriff wurde im März 2016 offiziell von einer Gruppe von Sicherheitsforschern bekannt gegeben und wurde mit CVE-2016-0800 gekennzeichnet. Die vollständige technische Beschreibung des Angriffs ist in dem Dokument DROWN: Breaking TLS using SSLv2 verfügbar. 

Bei DROWN werden mehrere verschiedene Taktiken verwendet, um das Ziel zu erreichen. Einerseits handelt es sich um einen protokollübergreifenden Angriff, was bedeutet, dass ein Teil der Strategie darin besteht, die Unterschiede zwischen den Protokollen auszunutzen, um eine bestimmte Schwachstelle im SSLv2-Protokoll offenzulegen.

Außerdem handelt es sich um einen Bleichenbacher-Padding-Orakel-Angriff (d. h. einen Chiffretext-Angriff). Sobald der Angreifer die protokollübergreifende Schwachstelle ausgenutzt hat, sendet er Tausende von modifizierten Handshake-Nachrichten an den Server und vergleicht dessen Antworten. Aufgrund der Art der Antworten des Servers bei Verwendung eines RSA-Schlüsselaustauschs unter SSLv2 kann der Angreifer nach und nach Teile des Sitzungsschlüssels des Servers sammeln und sie schließlich vollständig zusammensetzen. Infolgedessen sind alle Server gefährdet, einschließlich Websites und E-Mail-Server. 

Es gibt zwei Hauptarten von DROWN-Angriffen – einen allgemeinen DROWN-Angriff und einen speziellen DROWN-Angriff. 

Der allgemeine DROWN-Angriff nutzt die RSA-Verschlüsselung des Hauptgeheimnisses in SSLv2, während der spezielle DROWN-Angriff eine OpenSSL-Schwachstelle in der Implementierung von SSLv2 ausnutzt. Daher ist der letztgenannte Angriff wesentlich einfacher, billiger und schneller auszuführen.

SSL DROWN Vulnerability - Crashtest Security

Wie funktioniert der DROWN-Angriff?

Der DROWN-Angriff durchläuft mehrere Stufen. Zunächst muss der Angreifer Sitzungen zwischen dem Server und dem Client, die eine beliebige Version von SSL oder TLS verwenden, beobachten und aufzeichnen. Damit DROWN funktioniert, müssen diese Sitzungen auch RSA-Chiffre-Suites verwenden. Irgendwann wird eine dieser aufgezeichneten Sitzungen entschlüsselt.

Die Forscher, die die DROWN-Schwachstelle bekannt gegeben haben, schätzen, dass etwa 1.000 solcher Sitzungen für die anschließende Beschreibung des Sitzungsschlüssels ausreichen. Diese Sitzungen können entweder im Laufe der Zeit abgefangen werden, oder die Angreifer können die Benutzer dazu bringen, einem Link zu folgen, der solche Verbindungen im Hintergrund ohne das Wissen der Benutzer herstellt. 

In der zweiten Phase des Angriffs hat der Angreifer den üblichen Client/Server-Handshake abgefangen. Anschließend stellt er mehrere Verbindungen zum Server her und nutzt dabei die protokollübergreifende Schwachstelle. Diese lässt SSLv2-Verbindungen zum Server zu und ermöglicht dadurch den weiteren Angriff.

Bei diesen Verbindungen handelt es sich um modifizierte Handshake-Nachrichten, die auf den RSA-Chiffretext abzielen – denn ungepolsterter RSA, wie er in SSLv2 verwendet wird, kann verändert werden. Der Angreifer beobachtet die Antworten des Servers, die nach und nach Hinweise darauf liefern, ob er den 40-Bit-Schlüssel richtig errät oder nicht, und verschafft sich durch gezieltes Ausprobieren Zugang zum Server. 

Schließlich, nach etwa 40.000 solcher Versuche, wird das Hauptgeheimnis durch den Angreifer im allgemeinen DROWN-Schwachstellen-Szenario offenbart. Dies kann in weniger als 8 Stunden erfolgreich durchgeführt werden.

Für das spezielle DROWN-Szenario sind etwa 17.000 Verbindungen und rund 260 aufgezeichnete Sitzungen erforderlich, und es kann in weniger als einer Minute ausgeführt werden. Da der spezielle DROWN-Angriff so schnell ausgeführt werden kann, öffnet er auch die Tür für Man-in-the-Middle-Angriffe (MITM), die es dem Angreifer ermöglichen, sich als Standard- und moderner Server auszugeben. Ein Viertel aller HTTPS-Server sind für diesen Angriff anfällig. Wenn dies gelingt, kann selbst die perfekte Vorwärtsgeheimhaltung (Perfect Forward Secrecy, PFS) DROWN nicht verhindern, da ein MITM-Angriff es Angreifern ermöglicht, PFS-Verbindungen zu unterbrechen.

Sobald das Hauptgeheimnis bekannt ist, erhält der Angreifer den Sitzungsschlüssel und kann damit die zuvor aufgezeichneten Sitzungen entschlüsseln. Auf diese Weise werden sensible Daten wie Authentifizierungsnachweise offengelegt, und auch die Benutzer werden dadurch gefährdet. 

Präventionsleitfaden für SSL/TLS-Schwachstellen

Leitfaden

Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.

Mehr erfahren

Wie lässt sich die DROWN-Sicherheitslücke verhindern?

Um zu verhindern, dass sie einem DROWN-Angriff ausgesetzt werden, müssen Serverbetreiber sicherstellen, dass ihr Server die Verwendung von SSLv2-Chiffre-Suites nicht unterstützt. Außerdem müssen sie sicherstellen, dass die privaten Schlüssel des Servers nirgendwo anders verwendet werden, z. B. in Webservern, E-Mail-Servern wie SMTP-, IMAP- oder POP-Servern usw. sowie in Serversoftware, die SSLv2-Verbindungen unterstützt. 

Weitere Informationen zur Vermeidung von DROWN und anderen ähnlichen Sicherheitslücken finden Sie im Leitfaden zur Sicherung der TLS-Konfiguration.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 25/06/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.