Linux-Bug macht beliebte Websites wie USA Today angreifbar

Wissenschaftler der University of California und des US-Army Research Laboratory haben eine Sicherheitslücke entdeckt, die es erlaubt, beliebige Inhalte in legitime Websites wie USA Today einzuschleusen. Auf dem Usenix Security Symposium stellten sie einen Proof-of-Concept-Exploit vor, der sich offenbar auch auf andere, nicht näher genannte Websites anwenden lässt, wie Ars Technica berichtet. Der eigentliche Fehler steckt in der Implementierung des Standards RFC 5961, der seit der Version 3.6 ein Bestandteil des Linux-Kernels ist.

Andere Betriebssysteme wie Windows oder Mac OS X sind nicht angreifbar, da sie RFC 5961 noch nicht vollständig implementiert haben. Ziel des Standards ist es, die Robustheit des Internetprotokolls TCP zu verbessern und vor bestimmten Hackerangriffen zu schützen.

Die Lücke erlaubt einen sogenannten „Blind Off-Path“-Angriff, bei dem Hacker von einem beliebigen Standort im Internet aus feststellen können, wann zwei Parteien über eine aktive TCP-Verbindung miteinander kommunizieren. Anschließend können sie entweder die Verbindung beenden, Schadcode ober beliebige Inhalte in einen unverschlüsselten Datenstrom einfügen oder möglicherweise auch Nutzer des Anonymisierungsnetzwerks Tor ausspähen.

Die Website von USA Today ist angreifbar, weil sie keine Verschlüsselung verwendet. JavaScript-Code lässt sich in diesem Beispiel über Eingabefelder für E-Mail und Passwort einschleusen. Zudem gilt dem Bericht zufolge eine zeitliche Einschränkung: Ein Angriff muss innerhalb von etwa 60 Sekunden abgeschlossen sein. Weitere Details des Angriffs zeigen die Forscher in einem Video.

Für Linux liegt inzwischen ein Fix vor. Er wurde in die vor drei Wochen erschienene Kernelversion 4.7 eingepflegt, allerdings noch nicht in die wichtigsten Linux-Distributionen. Damit der Angriff funktioniert, muss nur eine der beiden per TCP kommunizierenden Parteien eine Website oder ein Dienst sein, der auf einem Linux-Server ausgeführt wird.

„Durch ausgiebige Experimente haben wir gezeigt, dass der Angriff sehr effektiv und zuverlässig ist“, schreiben die Forscher in ihrem Bericht (PDF). Er lasse sich aber nicht nur gegen Websites, sondern auch gegen SSH-Verbindungen einsetzen. Andere Betriebssysteme könnten unter Umständen durch eine vollständige Implementierung von RFC 5961 ebenfalls anfällig werden. „Ich würde sagen, dass RFC 5961 so geschrieben wurde, dass eine direkte Implementierung in ein OS problematisch ist. Ich glaube, wir sollten die Verantwortung zwischen RFC und der Implementierung aufteilen.“