Команда исследователей опубликовала отчет, который объясняет суть ряда атак против веб-сайтов и веб-приложений, использующих TLS. Эти техники не используют ошибки настройки, которые являются наиболее распространенным вектором атаки против шифрования, защищающего обмен данными, вместо этого они сфокусированы на эксплуатации особенностей протокола, включая возобновление сессии и повторной аутентификации клиента при переустановке соединения.

В отчете, названном «Triple Handshakes and Cookie Cutters: Breaking and Fixing Authentication over TLS«, детально описывается, как злоумышленник может применить атаку типа «человек посередине» для того, чтобы успешно подменить клиент TLS. Метод действенен для атаки против восстановления сессии TLS, беспроводных сетей, протоколов вызова-отзыва и кукис, привязанных к каналу.

Отчет, написанный Картикьяном Бхагаваном, Антуаном Делинья-Лаво, Альфредо Пиронти из исследовательской команды Prosecco из INRIA (Париж-Роканкур), Седриком Фурне из Microsoft Research (Кембридж) и Пьером-Ивом Струбом из института IMDEA, демонстрирует, как злоумышленник может заставить клиента, поддерживающего TLS-соединение, подключиться с серверу, контролируемому злоумышленниками, и предоставить ему аутентификационные данные. Сервер злоумышленника тогда сможет подменить собой клиента при подключении к другому серверу, принимающему те же аутентификационные данные (например, в случае системы единого входа).

«Конкретно вредоносный сервер выполняет атаку «человек посередине» в трех успешных хендшейках между честным клиентом и сервером и подменяет собой клиента на третьем хендшейке», — написали исследователи.

Исследователи заявили, что их атаки работают против популярных браузеров, VPN-приложений и HTTPS-библиотек; не все атаки полагаются на восстановление сессии и, например, могут позволить вмешаться в иные типы TLS-аутентификации, такие как PEAP, SASL и Channel ID.

«Наши атаки эксплуатируют отсутствие привязки кросс-соединений, когда сессии TLS восстанавливаются при новых соединениях, — написали исследователи. — Более того, наши атаки не требуют активного участия оператора, их можно проводить с одним лишь вредоносным сервером или веб-сайтом».

Исследователи изучили четыре уязвимости TLS, начиная с проблемы в RSA-хендшейке, который позволяет подменить клиент путем атаки через разделение неизвестного ключа, и продолжив уязвимостью в хендшейке обмена Диффи — Хеллмана, когда злоумышленник может провести атаку «человек посередине» между клиентом и сервером для перехвата сессий, использующих те же ключи (другой пример той же атаки через разделение неизвестного ключа).

Восстановление сессии при новом соединении представляет собой еще одно слабое звено, учитывая тот факт, что оно использует сокращенную процедуру хендшейка, которая может быть перевыполнена в другом соединении, несмотря на то что сервер и клиент не аутентифицировались повторно.

Четвертая проблема TLS, проявляющаяся при восстановлении сессии, по словам исследователей, состоит в том, что сертификаты сервера и клиента могут меняться, а приложения, не проинструктированные должным образом о том, что делать с этими изменениями, могут и не применить лучший сертификат для этой ситуации

Исследователи оповестили об уязвимостях ряд производителей, включая производителей наиболее распространенных браузеров (Apple, Google, Microsoft и Mozilla), каждый из которых выпустил патч или предложил какой-либо способ отражения атак. OpenSSL, GnuTLS и GNU SASL сообщили о том, что пока работают над отражением таких атак.

Категории: Уязвимости