Video: Heartbleed Exploit - Discovery & Exploitation (Dezember 2024)
Im April erfuhren wir, dass ein Fehler in der beliebten OpenSSL-Codebibliothek es Angreifern ermöglichen kann, Speicher von vermeintlich sicheren Servern zu durchsuchen und möglicherweise Anmeldeinformationen, private Schlüssel und mehr zu erfassen. Dieser als "Heartbleed" bezeichnete Fehler bestand jahrelang, bevor er entdeckt wurde. Die meisten Diskussionen über diesen Fehler gingen davon aus, dass Hacker ihn gegen sichere Server einsetzen würden. Ein neuer Bericht zeigt jedoch, dass er sowohl auf Servern als auch auf Endpunkten unter Linux und Android problemlos ausgenutzt werden kann.
Luis Grangeia, ein Forscher bei SysValue, hat eine Proof-of-Concept-Codebibliothek erstellt, die er "Cupid" nennt. Cupid besteht aus zwei Patches für vorhandene Linux-Codebibliotheken. Einer erlaubt einem "bösen Server", Heartbleed auf anfälligen Linux- und Android-Clients auszunutzen, während der andere einem "bösen Client" erlaubt, Linux-Server anzugreifen. Grangeia hat den Quellcode frei verfügbar gemacht, in der Hoffnung, dass andere Forscher mitmachen, um mehr darüber zu erfahren, welche Arten von Angriffen möglich sind.
Nicht alle sind anfällig
Cupid arbeitet speziell gegen drahtlose Netzwerke, die das Extensible Authentication Protocol (EAP) verwenden. Ihr WLAN-Heimrouter verwendet mit ziemlicher Sicherheit kein EAP, die meisten Lösungen auf Unternehmensebene jedoch. Laut Grangeia verwenden sogar einige kabelgebundene Netzwerke EAP und wären daher anfällig.
Ein mit dem Cupid-Code gepatchtes System hat drei Möglichkeiten, Daten aus dem Speicher des Opfers abzurufen. Es kann angreifen, bevor die sichere Verbindung hergestellt ist, was ein bisschen alarmierend ist. Es kann nach dem Handschlag angreifen, der die Sicherheit herstellt. Oder es kann angreifen, nachdem Anwendungsdaten freigegeben wurden.
Was genau ein mit Cupid ausgestattetes Gerät erfassen kann, hat Grangeia nicht ausführlich festgestellt, obwohl "eine flüchtige Überprüfung sowohl auf anfälligen Clients als auch auf anfälligen Servern interessante Dinge ergab". Ob dieses "interessante Zeug" private Schlüssel oder Benutzeranmeldeinformationen enthalten könnte, ist noch nicht bekannt. Ein Grund für die Veröffentlichung des Quellcodes ist, dass mehr Köpfe daran arbeiten, solche Details zu entdecken.
Was kannst du tun?
Android 4.1.0 und 4.1.1 verwenden beide eine anfällige Version von OpenSSL. Laut einem Bericht von Bluebox sind spätere Versionen technisch anfällig, aber das Heartbeat-Messaging-System ist deaktiviert, sodass Heartbleed nichts auszunutzen hat.
Wenn auf Ihrem Android-Gerät 4.1.0 oder 4.1.1 ausgeführt wird, führen Sie nach Möglichkeit ein Upgrade durch. Andernfalls rät Grangeia: "Sie sollten es vermeiden, eine Verbindung zu unbekannten drahtlosen Netzwerken herzustellen, es sei denn, Sie aktualisieren Ihr ROM."
Linux-Systeme, die eine drahtlose Verbindung herstellen, sind anfällig, es sei denn, OpenSSL wurde gepatcht. Wenn Sie solche Systeme verwenden, sollten Sie überprüfen, ob der Patch installiert ist.
Für Unternehmensnetzwerke, die EAP verwenden, schlägt Grangeia vor, das System von SysValue oder einer anderen Agentur testen zu lassen.
Macs, Windows-Boxen und iOS-Geräte sind nicht betroffen. Ausnahmsweise steckt Linux in Schwierigkeiten. Sie können den vollständigen Beitrag von Grangeia hier lesen oder eine Diashow-Präsentation hier ansehen. Wenn Sie selbst Forscher sind, sollten Sie sich den Code schnappen und ein wenig experimentieren.
