Ein Forscherteam des Fraunhofer-Instituts in Darmstadt hat eine schwerwiegende Sicherheitslücke im Domain Name System (DNS) gefunden: sie erlaubt es Cyberkriminellen, betrügerische Website-Zertifikate auszustellen.
Seit seiner Schaffung im Jahr 1983 dient das DNS als Netzwerk, um Domain-Namen in IP-Adressen umzusetzen. Um sicherzustellen, dass während der Übertragung sensible Daten wie KreditkartenInformationen beim Online-Shopping durch Dritte nicht ausgelesen oder manipuliert werden können, arbeiten viele Webseiten mit so genannten Zertifikaten; wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer beispielsweise durch ein grünes Vorhängeschloss vor der URL und den Zusatz »https«. Dies soll dem Nutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Ausgestellt werden diese Zertifikate von sogenannten Web-CAs (Certificate Authorities); hierzu zählen Anbieter wie Comodo oder Symantec. Die Aussteller solcher Zertifikate unterliegen dabei der Aufsicht der deutschen Bundesnetzagentur. Praktisch alle gängigen Web-CAs verwenden dabei eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat ausstellen.
Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat nun eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Ein Fehler in der DV ermöglicht es, viele Web-CAs zu täuschen, so dass sie falsche Zertifikate ausgeben. Der Angriff beruht vereinfacht darauf, dass der Angreifer durch spezielle ICMP-Pakete eine Zerlegung der DNS-Pakete in zwei Teile erzwingt: Der erste enthält die zur Authentifizierung genutzte und dem Angreifer unbekannte Challenge, der zweite die eigentliche Antwort in Form einer IP-Adresse. Den zweiten Teil kann der Angreifer fälschen und so falsche IP-Adressen in den DNS-Cache einschleusen. Bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Ein Team um Dr. Haya Shulman hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen.
Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung,
so Dr. Shulman. Zur Abschwächung der Sicherheitslücke haben die Forscher »DV++« entwickelt, eine verbesserte Version von DV.
Weitere Details dieses Angriffs sowie DV++ stellen die SIT-Forscher auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) vor. Sie findet vom 15. bis zum 19. Oktober 2018 im Beanfield Centre in Toronto (Kanada) statt. Als eine Art Erste Hilfe wurden deutsche Sicherheitsbehörden und WebCAs bereits informiert.