Sicherheitslücke bei OpenSSL: „Certificate Verification Bug“

Das TLS/SSL-Protokoll sorgt dafür, dass das kleine Vorhängeschloss in der Eingabezeile des Internetbrowsers erscheint. Ein Klick auf dieses Symbol listet eine oder mehrere digitalen Zertifizierungen auf, die für die Echtheit der besuchten Seite bürgen. Jedes Zertifikat bezieht sich dabei auf das jeweils unter ihm in der Liste stehende. So entsteht eine sogenannte „Vertrauenskette“, und selbst wenn die Informationen in diesem Pop-up-Fenster den Ottonormalverbrauchern etwas kryptisch vorkommen mögen, geben sie doch einen Anhaltspunkt, dass jemand überprüft hat, dass zum Beispiel die Firma Sophos in Wiesbaden tatsächlich existiert und ein Recht dazu hat, sich auf www.sophos.de zu präsentieren.

Im Gegenzug taucht bei einem gefälschten oder unsignierten Zertifikat eine Meldung auf, die mitteilt, dass die Vertrauenskette hier nicht durchgängig ist, und potentiell Gefahr von dieser Webseite ausgeht. Bei einem Certificate Verification Bug wird eben jene Vertrauenskette nicht mehr ausreichend überprüft. In der Folge können Onlinegauner ein gefälschtes oder nicht signiertes Zertifikat unterschummeln ohne das eine entsprechende Warnung im Browser auftaucht. Dadurch entsteht ein falsches Gefühl der Sicherheit, und Nutzer können leichter in eine Malware-Falle gelockt werden.

Angenommen ein Cyberkrimineller fälscht eine favorisierte Social-Networking-Seite und bringt Surfer dazu, ihre Log-in-Daten einzugeben. Das ist ein altbekannter Trick namens Phishing. Vorsichtige Nutzer können sich vor solchen Attacken schützen, indem sie auf das HTTPS-Schloss achten und die Vertrauenskette überprüfen. Normalerweise haben eben jene Fake-Seiten nämlich keine Zertifikate und können deshalb leicht als Fälschung enttarnt werden. Wenn der Browser allerdings gefälschte Zertifikate aufgrund eines Certificate Verification Bugs akzeptiert, laufen Nutzer, die sich auf HTTPS verlassen, ahnungslos in die Falle.

Dabei stellt sich auch die Frage, ob der Bug auch Server beeinflusst – so wie es bei Heartbleed der Fall war: In der Theorie ist das möglich. Allerdings erfolgt die Zertifikatverifizierung hauptsächlich über Client-Programme wie zum Beispiel Internetbrowser, wenn sie sich mit gesicherten Servern verbinden. Das macht CVE-2015-1793 eher zu einem Client-Bug. Er beeinflusst also die Software, die für die Verbindung zuständig ist, nicht die Software, zu der die Verbindung hergestellt wird. Allerdings kann es natürlich gut sein, dass sie Server in ihrem Netzwerk haben, die auch als Client agieren und sich mit anderen Servern verbinden, um Updates herunterzuladen oder Daten zu synchronisieren. Es ist also unbedingt empfehlenswert, Desktop-Computer und Server gleichzeitig zu patchen.

Eine Menge Software nutzt OpenSSL im Hintergrund, ohne es an die große Glocke zu hängen. Am sichersten verfahren Anwender, indem sie bei Open-Source-Projekten die Betreiber kontaktieren oder bei kommerziellen Programmen den entsprechenden Anbieter fragen.

Sascha Pfeiffer, Principle Security Consultant bei Sophos

Hier geht es zu Sophos