Zum Inhalt springen
Besuchen Sie Censys für einen Bedrohungsabwehr Workshop & Happy Hour! | 17. April in der City Winery in Philadelphia | Jetzt anmelden
Blogs

Der FREAK-Angriff

Am Dienstag, den 3. März 2015, haben Forscher eine neue SSL/TLS-Schwachstelle namens FREAK-Angriff bekannt gegeben. Sie ermöglicht es einem Angreifer, HTTPS-Verbindungen zwischen anfälligen Clients und Servern abzufangen und sie zu zwingen, eine geschwächte Verschlüsselung zu verwenden, die der Angreifer knacken kann, um sensible Daten zu stehlen oder zu manipulieren. Diese Website widmet sich der Verfolgung der Auswirkungen des Angriffs und hilft Benutzern zu testen, ob sie anfällig sind.

Der FREAK-Angriff wurde von Karthikeyan Bhargavan am INRIA in Paris und dem miTLS-Team entdeckt. Die weitere Aufdeckung wurde von Matthew Green koordiniert. Weitere Einzelheiten finden Sie in diesem Beitrag von Matt Green, auf dieser Website der Entdecker, in diesem Artikel der Washington Post und in diesem Beitrag von Ed Felten.

Wer ist gefährdet?

Der FREAK-Angriff ist möglich, wenn ein anfälliger Browser eine Verbindung zu einem anfälligen Webserver herstellt - einem Server, der eine "export-grade" Verschlüsselung akzeptiert.

Server

Server, die RSA_EXPORT-Chiffre-Suites akzeptieren, gefährden ihre Benutzer durch den FREAK-Angriff. Mit Hilfe von Internet-Scans haben wir täglich alle HTTPS-Server an öffentlichen IP-Adressen daraufhin überprüft, ob sie diese geschwächte Verschlüsselung zulassen. Mehr als ein Drittel aller Server mit Browser-vertrauenswürdigen Zertifikaten sind gefährdet.

Derzeit anfälligÄnderung seit 3. MärzHTTPS-Server bei Alexa Top 1 Million Domainnamen8,5%abwärts von 9,6%HTTPS-Server mit Browser-vertrauenswürdigen Zertifikaten6,5%abwärts von 36,7%Alle HTTPS-Server11,8%abwärts von 26,3%

Sie können Server mit dem SSL FREAK Check Tool oder dem Qualys SSL Labs' SSL Server Test testen, der auch andere Sicherheitsprobleme aufdecken kann.

Derzeit angreifbar Veränderung seit 3. März
HTTPS-Server bei Alexa Top 1 Million Domainnamen 8.5% runter von 9,6%
HTTPS-Server mit browser-vertrauenswürdigen Zertifikaten 6.5% runter von 36,7%
Alle HTTPS-Server 11.8% runter von 26,3%

Kunden

Aktualisierung (5. März): Browser sind aufgrund von Fehlern, die es einem Angreifer ermöglichen, sie zur Verwendung einer schwachen, exportfähigen Verschlüsselung zu zwingen, für den FREAK-Angriff anfällig. Ein Beispiel ist der in CVE-2015-0204 beschriebene OpenSSL-Bug, aber auch einige andere TLS-Bibliotheken haben ähnliche Probleme. Weitaus mehr Browser sind für den FREAK-Angriff anfällig, als ursprünglich angenommen wurde, als der Angriff angekündigt wurde, darunter:

Anfälliger Browser Status
Internet Explorer Patch jetzt verfügbar - Sicherheitshinweis
Chrome unter Mac OS Patch jetzt verfügbar
Chrome auf Android Patch jetzt verfügbar
Safari unter Mac OS Patch jetzt verfügbar
Safari unter iOS iOS 8 Patch jetzt verfügbar
Standard-Android-Browser Patch jetzt verfügbar
Blackberry-Browser
Opera unter Mac OS Patch jetzt verfügbar

Chrome für Windows und alle modernen Versionen von Firefox sind als sicher bekannt. Doch selbst wenn Ihr Browser sicher ist, kann bestimmte Software von Drittanbietern, einschließlich einiger Antivirenprodukte und Adware-Programme, Sie dem Angriff aussetzen, indem sie TLS-Verbindungen des Browsers abfängt. Wenn Sie einen sicheren Browser verwenden, unser Client-Test aber anzeigt, dass Sie anfällig sind, ist dies eine wahrscheinliche Ursache. Mit dem Qualys SSL-Client-Test können Sie überprüfen, ob Ihr Browser anfällig ist.

Neben Browsern verwenden auch viele mobile Anwendungen, eingebettete Systeme und andere Softwareprodukte TLS. Diese sind ebenfalls potenziell anfällig, wenn sie auf ungepatchte Bibliotheken zurückgreifen oder RSA_EXPORT-Cipher-Suites anbieten.

Was sollte ich tun?

Wenn Sie einen Server betreiben ...

Sie sollten die Unterstützung für TLS-Export-Chiffre-Suiten sofort deaktivieren. Wenn Sie schon dabei sind, sollten Sie auch andere Cipher-Suites deaktivieren, die als unsicher bekannt sind, und Forward Secrecy aktivieren. Für Anleitungen zur Absicherung gängiger HTTPS-Server-Software empfehlen wir den Leitfaden zur Sicherheitskonfiguration von Mozilla und den dortigen SSL-Konfigurationsgenerator. Wir empfehlen außerdem, Ihre Konfiguration mit dem Qualys SSL Labs SSL Server Test Tool zu testen.

Wenn Sie einen Browser verwenden ...

Stellen Sie sicher, dass Sie die neueste Version Ihres Browsers installiert haben, und suchen Sie regelmäßig nach Updates. Updates, die den FREAK-Angriff beheben, sollten bald für alle wichtigen Browser verfügbar sein.

Wenn Sie Sysadmin oder Entwickler sind ...

Stellen Sie sicher, dass alle von Ihnen verwendeten TLS-Bibliotheken auf dem neuesten Stand sind. Ungepatchte OpenSSL, Microsoft Schannel und Apple SecureTransport sind alle von der Sicherheitslücke betroffen. Beachten Sie, dass diese Bibliotheken intern von vielen anderen Programmen, wie wget und curl, verwendet werden. Sie müssen auch sicherstellen, dass Ihre Software keine Export-Cipher-Suites anbietet, auch nicht als letzten Ausweg, da diese ausgenutzt werden können, selbst wenn die TLS-Bibliothek gepatcht ist.

Lösungen für das Management von Angriffsflächen
Mehr erfahren