Verschlüsselung

Freak: Sicherheitslücke zielt auch auf Windows-User ab

11. März 2015
  • Verschlüsselung

© ra2 studio - fotolia.com

Freak: Das steht für Factoring attack on RSA-Export Keys. Die gefährliche Schwachstelle erlaubt es Angreifern, vermeintlich sichere Internetverbindungen abzuhören und schlimmstenfalls auch, sensible Daten wie Passwörter zu erbeuten. Freak betrifft alle Anwender, auch dann, wenn Sie keinen anfälligen Browser verwenden.

Freak hat seine Ursprünge in den 80er Jahren

Bei Freak handelt es sich um eine kuriose Schwachstelle: Sie geht auf eine politische Entscheidung in den 80er und 90er Jahren zurück. Seinerzeit war es US-Unternehmen untersagt, Verschlüsselungstechniken ins Ausland zu veräußern, und so schwächte man die Export-Version der RSA-Verschlüsselung ab: Man entschied sich, die Schlüssel auf unsichere 512 Bit zu kürzen, sodass es ein vertretbarer Aufwand erlaubte, die schwache Verschlüsselung zu knacken. Genau das war auch das Ziel dieser gesetzlichen Beschränkungen: Eine per Gesetz angeordnete Hintertür.

Möglichkeiten von Freak

Das Gesetz verschwand gegen Ende der 90er Jahre, die unsichere Verschlüsselung jedoch blieb stellenweise. Nach wie vor unterstützt aktuelle Anwender- und Serversoftware die unzureichende Verschlüsselung einer damaligen Export-Version, und genau das ist das Problem, denn diese Umstände können sich Angreifer zunutze machen.

Betroffen waren zunächst mehrere Millionen Webseiten, darunter auch die des FBI und der NSA. Wird eine solche betroffene Website angesteuert, lassen sich Man-in-the-Middle-Attacken durchführen. Entsprechend präparierte Datenpakete sollen betroffene Browser dazu bewegen, auf die veraltete Verschlüsselung zurückzugreifen. Ein Computer mit aktueller Ausrüstung knackt solch schwache Verschlüsselungsparameter binnen weniger Stunden.

Wer ist von Freak betroffen?

Zunächst wurde angenommen, Freak habe lediglich Auswirkungen auf Apples Safari-Browser und Googles Standard-Browser für Android-Geräte. Jedoch erklärte Microsoft auf seiner Website, dass sämtliche Windows-Versionen eine Schwachstelle besitzen, die das Ausnutzen von Freak wesentlich erleichtert. Damit ist auch Microsofts Internet Explorer betroffen. Microsoft kündigte eine Lösung an, allerdings führte das Hotfix zum Lahmlegen von Windows Update, außerdem sind einige via HTTPS ausgelieferte Websites nicht mehr erreichbar. Microsoft empfiehlt nun, genutzte Algorithmen für SChannel manuell über den Gruppenrichtlinien-Editor zu konfigurieren. Endkunden-Versions-Nutzer sind davon ausgenommen, da kein Editor für lokale Gruppenrichtlinien existiert. Betroffene sollten das Update rückgängig machen, manuell bearbeiten und im Anschluss sollte das Problem behoben sein. Welche Browser betroffen sind, zeigt Heise. Ob Ihr Rechner oder Ihr Mobilgerät betroffen ist, können Sie bei Qualys SSL Labs testen.

Sehen Sie dort eine Warnung, gilt es, nicht in Panik zu verfallen. Bisher fehlen Hinweise aufs Verwenden der Angriffstechnik. Beachten Sie, dass sich der Angreifer im gleichen Netzwerk, beispielsweise im selben WLAN, befinden muss, um eine Attacke zu starten. Nichtsdestotrotz sollten Sie die von Google und Apple angekündigten Hotfixes in jedem Fall einspielen, denn die Anzahl der Server, die sich zu dieser schwachen Verschlüsselung hinreißen lassen, ist erschreckend hoch. Bislang ist unklar, wie Google mit nicht mehr unterstützten Android-Versionen umgehen möchte.

Haben Sie Fragen zum Thema, fühlen Sie sich frei, diese in den Kommentaren oder direkt an unseren Support zu stellen.

Update: OpenSSL verteilt Aktualisierungen

OpenSSL hat Updates veröffentlicht, die auch die FREAK-Sicherheitslücke beheben. Alle Informationen dazu finden Sie im Update des Blogbeitrags „Neuer OpenSSL-Bug: Erinnerungen an Heartbleed werden wach“.



0 Kommentar(e)

Schreibe einen Kommentar