Was ist OpenSSL?
OpenSSL ist ein weit verbreitetes Internetsicherheit-Toolkit auf Open-Source-Basis, das ein kryptografisches Sicherheitsprotokoll namens TLS/SSL implementiert. Man erkennt es am „S“ in „HTTPS“, das mittlerweile bei eine großen Anzahl von Internetseiten auftaucht.
Welche Lücke wurde gerade gepatcht?
OpenSSL hat ein vorangekündigtes sog. „High Severity“-Update veröffentlicht, das eine Lücke mit dem Namen CVE-2015-1793 schließt. Dabei handelt es sich um einen Certificate Verification Bug
Was ist ein Certificate Verification Bug?
Das TLS/SSL-Protokoll sorgt dafür, dass das kleine Vorhängeschloss in der Eingabezeile des Internetbrowsers erscheint. Ein Klick auf dieses Symbol listet eine oder mehrere digitalen Zertifizierungen auf, die für die Echtheit der besuchten Seite bürgen. Jedes Zertifikat bezieht sich dabei auf das jeweils unter ihm in der Liste stehende. So entsteht eine sogenannte „Vertrauenskette“, und selbst wenn die Informationen in diesem Pop-up-Fenster den Ottonormalverbrauchern etwas kryptisch vorkommen mögen, geben sie doch einen Anhaltspunkt, dass jemand überprüft hat, dass zum Beispiel die Firma Sophos in Wiesbaden tatsächlich existiert und ein Recht dazu hat, sich auf www.sophos.de zu präsentieren.
Im Gegenzug taucht bei einem gefälschten oder unsignierten Zertifikat eine Meldung auf, die mitteilt, dass die Vertrauenskette hier nicht durchgängig ist, und potentiell Gefahr von dieser Webseite ausgeht. Bei einem Certificate Verification Bug wird eben jene Vertrauenskette nicht mehr ausreichend überprüft. In der Folge können Onlinegauner ein gefälschtes oder nicht signiertes Zertifikat unterschummeln ohne das eine entsprechende Warnung im Browser auftaucht. Dadurch entsteht ein falsches Gefühl der Sicherheit, und Nutzer können leichter in eine Malware-Falle gelockt werden.
Warum ist ein gefälschtes Zertifikat so gefährlich?
Stellen sie sich vor, ein Cyberkrimineller fälscht die von ihnen favorisierte Social-Networking-Seite und bringt sie dazu, ihre Log-in-Daten einzugeben. Das ist ein altbekannter Trick namens Phishing. Vorsichtige Nutzer können sich vor solchen Attacken schützen, indem sie auf das HTTPS-Schloss achten und die Vertrauenskette überprüfen. Normalerweise haben eben jene Fake-Seiten nämlich keine Zertifikate und können deshalb leicht als Fälschung enttarnt werden. Wenn der Browser allerdings gefälschte Zertifikate aufgrund eines Certificate Verification Bugs akzeptiert, laufen Nutzer, die sich auf HTTPS verlassen, ahnungslos in die Falle.
Sind aufgrund der Lücke weitere Attacken möglich?
Zum Glück nicht. Vor allem können Onlinegauner KEINE vertraulichen Daten von den Servern abziehen, wie es bei Heartbleed letztes Jahr der Fall war. Sie können auch NICHT beliebig im TLS-Netzwerkverkehr herumschnüffeln und in der Folge die Verschlüsselung knacken. Zudem ist es auch NICHT möglich, aufgrund des Bugs Malwarepakete zu versenden und in ihre Web-, Email- oder anderen OpenSSL-geschützen Server einzudringen.
Beeinflusst der Bug auch Server, so wie es bei Heartbleed der Fall war?
In der Theorie ja. Allerdings erfolgt die Zertifikatverifizierung hauptsächlich über Client-Programme wie zum Beispiel Internetbrowser, wenn sie sich mit gesicherten Servern verbinden. Das macht CVE-2015-1793 eher zu einem Client-Bug. Er beeinflusst also die Software, die für die Verbindung zuständig ist, nicht die Software, zu der die Verbindung hergestellt wird. Allerdings kann es natürlich gut sein, dass sie Server in ihrem Netzwerk haben, die auch als Client agieren und sich mit anderen Servern verbinden, um Updates herunterzuladen oder Daten zu synchronisieren. Es ist also unbedingt empfehlenswert, Desktop-Computer und Server gleichzeitig zu patchen.
Wie weiß ich, ob ich betroffen bin?
Eine Menge Software nutzt OpenSSL im Hintergrund ohne es an die große Glocke zu hängen. Am sichersten verfahren sie, indem sie bei Open-Source-Projekten die Betreiber kontaktieren oder bei kommerziellen Programmen den entsprechenden Anbieter fragen.
Sind Sophos-Lösungen von dem Bug betroffen?
Nein. Entweder wird OpenSSL in unseren Lösungen nicht genutzt oder es kommen Versionen zum Einsatz, die von dem Bug nicht betroffen sind.
Weitergehende Informationen (Englisch) zum OpenSSL-Bug gibt es bei den Kollegen von Naked Security.
Quelle: Sophos von Sascha Pfeiffer