Kommentar

TLS-Spionage: Jabber fühlte die Macht einer Maschinenidentität

Cyber-Spionage

Maschinenidentitäten sind ein mächtiges Werkzeug, sie können selbst erfahrene Sicherheitsanwender komplett austricksen, täuschen und Angriffe auf sie ermöglichen.

Angriffe unter Missbrauch von Maschinenidentitäten können von den Bösewichten auf Unternehmen durchgeführt werden. Deshalb muss eine Lösung wie ein Control Plane für die vollständige Überwachung, die Beobachtung der installierten und den Austausch häufiger bekannter Zertifikate implementiert werden.

Anzeige

Jabber ist ein Chatprogramm ähnlich WhatsApp und Co., dass sowohl auf Linux wie auch auf Windows und macOS läuft. Vor einigen Wochen wurde eine Spionage-Attacke auf den russischen XMPP-Server jabber.ru bei den Hosting-Providern Hetzner und Linode in Deutschland entdeckt. In seinem Blog schildert Sicherheitsforscher Valdik die bisher bekannten Hintergründe. Die Akteure haben für den Man-in-the-Middle (MiTM)-Angriff anscheinend mehrere neue TLS-Zertifikate über den Dienst Let’s Encrypt ausgestellt, die dazu verwendet wurden, verschlüsselte STARTTLS-Verbindungen an Port 5222 über einen transparenten MiTM-Proxy zu kapern. Entdeckt hatte es der Sicherheitsforscher, als eines der MiTM-Zertifikate ablief, das nicht neu ausgestellt wurde. Die Umleitung des Datenverkehrs wurde im Netzwerk des Hosting-Providers konfiguriert. Die Abhöraktion könnte bis zu sechs Monate gedauert haben.

Darüber hinaus geht der Sicherheitsforscher davon aus, dass die gesamte jabber.ru- und xmpp.ru-Kommunikation zwischen diesen Daten sollte als kompromittiert betrachtet werden muss. Angesichts dessen, wie sie abgefangen wurde, war der Angreifer in der Lage, jede Aktion so auszuführen, als ob sie von dem autorisierten Konto aus ausgeführt würde. Und dies, ohne das Passwort des Kontos zu kennen. Das bedeutet, dass der Angreifer den Service des Kontos herunterladen, den unverschlüsselten serverseitigen Nachrichtenverlauf einsehen, neue Nachrichten senden oder sie in Echtzeit ändern konnte.

Wenn die Untersuchungen des Sicherheitsforschers stimmen, haben die Strafverfolgungsbehörden die Grenze zur Verschleierung überschritten. Normalerweise beinhaltet eine legale Abhörmaßnahme das Abzapfen eines Netzwerks, aber in diesem Fall wird vorgegaukelt, dass der Dienst legitim ist, indem ein legitimes, öffentlich verfügbares Zertifikat verwendet wird, um die Anwender auszutricksen. Die Betonung liegt auf „austricksen“, da es sich hierbei eher um eine Methode handelt, die von der Polizei und ähnlichen Strafverfolgungsorganisationen genutzt wird.

Alle ausgestellten SSL/TLS-Zertifikate unterliegen der Zertifikatstransparenz. Es lohnt sich, die Überwachung der Zertifikatstransparenz zu konfigurieren. Betreiber und Unternehmen sollten die Validierungsmethoden begrenzen und die genaue Kontokennung festlegen, die neue Zertifikate ausstellen könnte. SSL/TLS-Zertifikatsänderungen sollten bei allen genutzten Diensten kontrolliert werden, wenn sie einen externen Dienst verwenden. Die MAC-Adresse des Standard-Gateways sollte darüber hinaus auf Änderungen gemonitort werden. Eine zentrale Plattform zur Verwaltung aller Maschinenidentitäten wie das Control Place von Venafi hilft bei der Automatisierung dieser Abläufe.

Kevin

Bocek

VP Security Strategy & Threat Intelligence

Venafi

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.