Digital Life
12.08.2016

Schwere Sicherheitslücke in Internet-Standard entdeckt

Eine Sicherheitslücke im Internet-Standard RFC 5961 ermöglicht es Angreifern, schadhaften Code in aktive Verbindungen einzuschleusen. Die Lücke bedroht auch das Tor-Netzwerk.

Sicherheitsforscher der University of California und des US Army Research Laboratory haben eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, Internet-Verbindungen einfach zu manipulieren. Die Lücke betrifft die Implementierung des relativ neuen Internet-Standards RFC 5961 im Linux-Kernel. Dieser soll eigentlich ähnliche Angriffsmethoden (sogenannte „Blind off-path attacks“) verhindern, öffnet aber offenbar Angreifern neue Türen.

Tor-Netzwerk bedroht

So macht man sich das Funktionsprinzip des Netzwerkprotokolls TCP (Transmission Control Protocol) zunutze. Dieses sendet bei Verdacht darauf, dass eine unbefugte Person um Zugriff anfragt, sogenannte „Challenge ACK“-Pakete an den Client. Diese wurden aber im Standard auf 100 begrenzt, weswegen der Angreifer nach dem Überschreiten dieser Grenze mithilfe von gefälschten Paketen die Verbindung manipulieren oder beenden kann.

Die Sicherheitsforscher demonstrierten das anhand der Webseite der Tageszeitung USA Today, die ihre Inhalte unverschlüsselt ausspielt. Angreifer können die Verbindung beenden und schadhaften Code oder andere beliebige Inhalte einschleusen. Die einzige Voraussetzungen: Die Verbindung muss unverschlüsselt ablaufen (wenn er selbst Inhalte einschleusen will), zudem muss der Angreifer beide IP-Adressen der Kommunikationspartner und den Server-Port kennen.

Auch das Tor-Netzwerk ist durch diese Sicherheitslücke bedroht. So kann die Verbindung zu einem sicheren Knoten so lange beendet werden, bis der Client sich mit einem manipulierten Tor-Server verbindet.

Vorerst nur Linux betroffen

Die Sicherheitslücke betrifft allerdings vorerst nur einen kleinen Teil der Linux-Nutzer. Windows, OS X, FreeBSD sowie Linux-Versionen, deren Kernel-Version älter als 3.6 ist, haben Glück. In diesen Systemen ist RFC 5961 noch nicht implementiert. Dennoch reicht es aus, wenn einer der Verbindungspartner von der Lücke betroffen ist.

Da viele Internet-Server auf Linux-Basis laufen und das Linux-basierte Android weit verbreitet ist, besteht daher eine realistische Chance auf Missbrauch. Die Sicherheitsforscher haben bereits einen Patch entwickelt und mit dem Linux-Kernel 4.7 ausgeliefert, der die Lücke schließen soll. Dieser wurde aber noch nicht von allen Linux-Distributionen implementiert.