Die DROWN genannte Schwachstelle (CVE 2016-0800) in der TLS/SSL-Protokollversion SSL 2.0 bzw. in der entsprechenden Implementierung von OpenSSL (CVE-2015-3197, CVE-2016-0703) ermöglicht einem nicht authentifizierten Angreifer über eine Netzwerkverbindung das Ausspähen von verschlüsselt übertragener Information. Betroffen sind alle Serversysteme, welche TLS/SSL in der Version SSL 2.0 unterstützen, insbesondere Webserver und Mailserver. Betroffene Administratoren sollten umgehend SSL 2.0 deaktivieren und, falls OpenSSL eingesetzt wird, auf die Versionen 1.0.1s bzw. 1.0.2g aktualisieren.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2016-0800:
  

  Betroffen:	SSL-Protokoll-Version 2.0 und OpenSSL
  Plattform:	generisch
  Einfallstor:	TLS/SSL
  Angriffsvoraussetzung:	Netzwerkverbindung
  Angriffsvektorklasse:	Server, die SSL 2.0 unterstützen
  Auswirkung:	Informationsleck
  Typ:	Schwachstelle in Protokoll und Implementierung
  Gefahrenpotential:	sehr hoch
  Workaround:	-
  Gegenmaßnahmen:	SSL-Protokoll-Version 2.0 deaktivieren und ggf. OpenSSL aktualisieren
  Vulnerability ID:	CVE-2016-0800, CVE-2015-3197, CVE-2016-0703

Betroffene Systeme

• CVE-2016-0800: Serversysteme, welche die SSL-Protokoll-Version 2.0 unterstützen
  
• CVE-2015-3197: OpenSSL in Versionen älter als 1.0.2f bzw. 1.0.1r
• CVE-2016-0703: OpenSSL in Versionen älter als 1.0.2a, 1.0.1m, 1.0.0r bzw. 0.9.8zf

Plattform

• generisch

Einfallstor

• TLS/SSL in Protokollversion SSL 2.0

Angriffsvoraussetzung

• Netzwerkverbindung (der Server muss sich in einem für den Angreifer zugänglichen Netzwerk befinden)

Angriffsvektorklasse

• Server, die TLS/SSL in der Protokollversion SSL 2.0 unterstützen, zum Beispiel Webserver oder Mailserver:
  • HTTPS auf Port 443 (Webserver)
  • IMAP mit STARTTLS auf Port 143 (Mailserver)
  • SMTP mit STARTTLS auf Port 25 oder 587 (Mailserver)
  • POP3 mit STARTTLS auf Port 110 (Mailserver)
  • IMAPS auf Port 993 (Mailserver)
  • POP3S auf Port 995 (Mailserver)

Auswirkung

• Informationsleck (Angreifer kann auf verschlüsselte Information zugreifen)

Typ der Verwundbarkeit

• CVE 2016-0800: Protokollschwäche in SSL 2.0 (DROWN)
• CVE-2015-3197: Implementierungsschwäche in OpenSSL (DROWN trotz deaktivierter SSL-2.0-Ciphers möglich)
• CVE-2016-0703: Implementierungsschwäche in OpenSSL (DROWN schneller und einfacher möglich)

Gefahrenpotential

• sehr hoch
  Hinweise zur Einstufung des Gefahrenpitentials

Beschreibung

DROWN steht für Decrypting RSA with Obsolete and Weakened eNcryption und bezeichnet eine neue Form der Bleichenbacher-Angriffe. Man macht sich dabei grundlegenden Schwächen in der TLS/SSL-Protokollversion SSL 2.0 zunutze und benutzt Server, die diese unterstützen, als RSA-Padding-Orakel für einen Chosen-Ciphertext-Angriff.

Die Protokollschwäche betrifft einerseits den ungenügenden Schutz des Schlüsselaustauschs in SSL 2.0 und die Unterstützung der schwachen Export-Ciphers. Kommt auf dem Server zudem OpenSSL zum Einsatz, lässt sich DROWN einerseits deutlich beschleunigen und andererseits ist der Angriff auch dann möglich, wenn alle Ciphers für SSL 2.0 deaktiviert sind, insofern zumindest die Protokollversion unterstützt wird.

Es ist zu betonen, dass es für einen erfolgreichen Angriff unerheblich ist, ob der Client überhaupt SSL 2.0 unterstützt oder nicht. Auch reicht es serverseitig nicht, neben RSA andere Methoden, wie etwa Diffie-Hellman (mit Forward Secrecy) für den Schlüsselaustausch zu unterstützen. Schließlich sei angemerkt, dass die Autoren des DROWN-Papers darauf hinweisen, dass neuere Protokollversionen wie TLS 1.2 und TLS 1.3 keinen systematischen Schutz vor ähnlichen Angriffen bieten.

Gegenmaßnahmen

• Serveradministratoren: TLS/SSL-Protokollversion SSL 2.0 deaktivieren!
• Serveradministratoren: OpenSSL auf Version 1.0.1s bzw. 1.0.2g aktualisieren!

Vulnerability ID

• CVE 2016-0800
• CVE-2015-3197
• CVE-2016-0703

Weitere Information zu diesem Thema

• Hanno Böck auf Golem: "Drown entschlüsselt mit uraltem SSL-Protokoll"
• Red Hat: "DROWN - Cross-protocol attack on TLS using SSLv2 - CVE-2016-0800"
• Gesammelte Informationen zu DROWN mit Testmöglichkeit für Webserver
• Qualys SSL Labs mit TLS-Testsuite für Webbrowser und Webserver
• BetterCrypto mit praktischen Hinweisen zur sicheren TLS-Konfiguration

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/