Schlimmer als Heartbleed?

Drown: SSL-Sicherheitslücke macht Millionen Webseiten angreifbar

Mit der sogenannten "Drown Attack" ist es Sicherheitsforschern gelungen, Millionen von Webseiten mit SSL-/TLS-Verschlüsselung zu knacken. Die Schwachstelle könnte noch schwerwiegender sein als der berüchtigte Heartbleed-Bug

Die Drown-Schwachstelle ist potenziell gefährlicher als Heartbleed.

© Drown

Die Drown-Schwachstelle ist potenziell gefährlicher als Heartbleed.

Eine Sicherheitslücke gefährdet derzeit mehrere Millionen Webseiten. Dies berichten Sicherheitsforscher, denen es gelungen ist, mit der sogenannten "Drown Attack" sämtliche Nutzerdaten von betroffenen Seiten zu erbeuten - darunter auch bekannte Webseiten wie Yahoo, Dailymotion und Buzzfeed.

Möglich gemacht wird dies durch die veraltete Verschlüsselungstechnik SSLv2. Deren Unsicherheit ist zwar hinlänglich bekannt und wird deshalb kaum noch genutzt, auf vielen Servern läuft SSLv2 aber dennoch im Hintergrund weiter. Diese Schwachstelle haben die Forscher nun ausgenutzt, wie sie auf ihrer Infoseite zur Drown-Attacke berichten.

Hierfür zeichnete das Team zunächst passiv den eigentlich sicheren TLS-Traffic auf. Im Anschluss erfolgte ein Serverangriff über SSLv2, mit dem das sogenannte Pre-Master-Secret geknackt wurde, womit eine Entschlüsselung des zuvor aufgezeichneten Datenverkehrs möglich ist. Der Zeitraum der Daten ist dabei unerheblich - selbst Jahre alter Verkehr lässt sich so problemlos dechiffrieren.

Die Drown-Attacke weist Parallelen zu einer ähnlichen Sicherheitslücke auf, die vor zwei Jahren das Netz unsicher gemacht hat: Bei der "Heartbleed" getauften Schwachstelle wurde die OpenSSL-Verschlüsselung geknackt, mehr als zwei Drittel aller Web-Server gefährdete.