Belgische onderzoekers ontdekken lek in HTTPS
Twee beveiligingsonderzoekers die verbonden zijn aan de KU Leuven hebben een kwetsbaarheid ontdekt in HTTPS, het protocol dat een veilige uitwisseling van gegevens toelaat met websites. De onderzoekers presenteren hun bevindingen op de Black Hat-conferentie in Las Vegas, schrijft Ars Technica.
Opmerkelijk is dat er geen man-in-the-middle-aanval nodig is om misbruik te maken van het lek. Het volstaat dat er een stukje kwaadaardige JavaScript-code op een door HTTPS beveiligde webpagina wordt geïnjecteerd, bijvoorbeeld via een advertentie. Die code kan vervolgens exact de bestandsgrootte meten van de versleutelde data die wordt verstuurd. Eenmaal een aanvaller de bestandsgrootte weet, kan die (gevoelige) informatie – gedecrypteerd worden met behulp van twee eerder ontdekte exploits, BREACH en CRIME. Die maken misbruik van een kwetsbaarheid in de manier waarop websites bestanden comprimeren om webpagina’s sneller te laden.
De exploit zou potentieel in staat kunnen zijn om heel wat schade aan te richten, zo waarschuwen Van Goethem en Vanhoef. “De meeste schade kan waarschijnlijk worden aangericht in combinatie met BREACH, omdat die exploit toelaat om CSRF-tokens uit te lezen. Afhankelijk van de functionaliteit die een website aanbiedt, kan een aanvaller met behulp van de CSRF-token het volledige account van zijn slachtoffer overnemen,” legt Van Goethem uit aan Ars Technica.
Het enige dat je volgens Van Goethem kan doen om jezelf te beschermen is third-party cookies uitschakelen. In dat geval wordt de informatie die door de website wordt teruggestuurd niet langer met jou geassocieerd. Momenteel staat het ontvangen van third-party cookies standaard geactiveerd in elke webbrowser en sommige online diensten werken zelfs niet zonder die toestemming.
Toch is het lang niet zeker dat HEIST ook effectief zal worden misbruikt in het wild. Hoewel het aanvallen vereenvoudigd, komt er nog altijd heel wat werk bij kijken. De code moet namelijk specifiek per website worden geschreven, waardoor het moeilijk is om de exploit op grote schaal in te zetten. Ook BREACH, een exploit die al drie jaar bekend is, werd tot op heden nog niet in het wild misbruikt.
Twee beveiligingsonderzoekers die verbonden zijn aan de KU Leuven hebben een kwetsbaarheid ontdekt in HTTPS, het protocol dat een veilige uitwisseling van gegevens toelaat met websites. De onderzoekers presenteren hun bevindingen op de Black Hat-conferentie in Las Vegas, schrijft Ars Technica.
Opmerkelijk is dat er geen man-in-the-middle-aanval nodig is om misbruik te maken van het lek. Het volstaat dat er een stukje kwaadaardige JavaScript-code op een door HTTPS beveiligde webpagina wordt geïnjecteerd, bijvoorbeeld via een advertentie. Die code kan vervolgens exact de bestandsgrootte meten van de versleutelde data die wordt verstuurd. Eenmaal een aanvaller de bestandsgrootte weet, kan die (gevoelige) informatie – gedecrypteerd worden met behulp van twee eerder ontdekte exploits, BREACH en CRIME. Die maken misbruik van een kwetsbaarheid in de manier waarop websites bestanden comprimeren om webpagina’s sneller te laden.
De exploit zou potentieel in staat kunnen zijn om heel wat schade aan te richten, zo waarschuwen Van Goethem en Vanhoef. “De meeste schade kan waarschijnlijk worden aangericht in combinatie met BREACH, omdat die exploit toelaat om CSRF-tokens uit te lezen. Afhankelijk van de functionaliteit die een website aanbiedt, kan een aanvaller met behulp van de CSRF-token het volledige account van zijn slachtoffer overnemen,” legt Van Goethem uit aan Ars Technica.
Het enige dat je volgens Van Goethem kan doen om jezelf te beschermen is third-party cookies uitschakelen. In dat geval wordt de informatie die door de website wordt teruggestuurd niet langer met jou geassocieerd. Momenteel staat het ontvangen van third-party cookies standaard geactiveerd in elke webbrowser en sommige online diensten werken zelfs niet zonder die toestemming.
Toch is het lang niet zeker dat HEIST ook effectief zal worden misbruikt in het wild. Hoewel het aanvallen vereenvoudigd, komt er nog altijd heel wat werk bij kijken. De code moet namelijk specifiek per website worden geschreven, waardoor het moeilijk is om de exploit op grote schaal in te zetten. Ook BREACH, een exploit die al drie jaar bekend is, werd tot op heden nog niet in het wild misbruikt.