„Faule Äpfel“ wie Man-in-the-Middle Attacks unterbinden | NETSCOUT

„Faule Äpfel“ wie Man-in-the-Middle Attacks unterbinden


Von Lisa Phifer


3/7/2014 10:07 Uhr

Wenn Sie ein Apple-iOS-Benutzer sind, nehmen Sie sich ein paar Minuten Zeit, um das Patch der letzten Woche zu installieren, das einen krassen SSL-Zertifikat-Handlingsfehler behebt, der über 700 Million iPhones, iPads, Apple-TVs und Macs anfällig für Man-in-the-Middle Attacks (MitM) machte.

Begründung: Die Apple iOS 6.x- und 7.x SSL/TLS-Bibliotheksfunktion SSSLVerifySignedServerKeyExchange, die von Anwendungen wie Safari zur Validierung von SSL-Serverzertifikaten verwendet wird, hat die letzten sechs Monate in der Arbeit geschlafen. Aufgrund der unglücklichen Wiederholung einer Zeile von Code „goto fail,“ unterbricht die Funktion die Prüfung der Zertifikatsgültigkeit etwa auf halbem Weg und überspringt Code, der die Signatur des Servers überprüfen sollte. Der CVE, der diese Verwundbarkeit erklärt, wird weiter in einer neuen Ausgabe der National Vulnerability Database erläutert.

Infolgedessen können SSL-Clients auf Geräten, die Apple-iOS 6.x vor 6.1.6 und 7.x vor 7.0.6, Apple-TV 6.x vor 6.0.2 und Apple OS X 10.9.x vor 10.9.2 ausführen, unentdeckt Verbindungen zu falschen SSL-Servern aufbauen. Dies macht es Angreifern leicht, sich als legitime SSL-Server zu maskieren und eine Anzahl von MitM-Angriffen auszuführen, vom Abfangen von vermeintlich verschlüsselten Daten bis zu Übernahme von vermeintlich authentifizierten TCP-Sitzungen.

Offene WLANs eignen sich besonders gut für MitM-Angriffe, da unechte Server auf Evil Twin-Zugangspunkten gehostet werden können. Jedoch können MitM-Angriffe auch durch ARP-Umlenkung und DNS-Cachevergiftung erleichtert werden. Wenn der Datenverkehr eines SSL-Clients zu dem gefälschten SSL-Server umgeleitet wird, macht der iOS-Programmfehler der letzten Woche die empfohlene Praxis für die Vermeidung von MitM-Angriffen - erforderte starke Serverauthentisierung - unwirksam.

Die Auswirkung dieses Fehlers ist ziemlich breit, weil jede Anwendung, die diese Funktion benutzt, ebenso verletzlich ist - einschließlich nicht nur Safari sondern jede iOS-Anwendung die über SSL/TLS arbeitet. Außerdem kann diese Verwundbarkeit nicht abgeschwächt werden, indem man eine andere Form der Verschlüsselung, wie VPN-Tunnelieren, hinzufügt. Client-Geräte müssen aktualisiert werden, um diese Vertrauenslücke zu beheben.

Glücklicherweise hat sich die Neuigkeit über dieses Patch schnell herumgesprochen und Mobilfunkanbieter haben das Patch von Apple schnell für Over-the-air-Installation zur Verfügung gestellt. Bis heute haben etwa 77 % der iOS-Geräte die Version 7.x, während weitere 17 % Prozent 6.x ausführen. Das heißt, dass weniger als 6 % ältere iOS-Versionen ausführen, die von diesem Programmfehler unberührt sind. In der letzten Woche haben ungefähr 40 % der iOS-Geräte zu Version 7.0.6 aufgerüstet, die dieses SSL-Zertifikation-Validierungsproblem behebt. Leider bedeutet das, dass noch Hunderte Millionen von iOS-Geräten ohne Patch verbleiben.

Organisationen mit funktionierendem Mobile Device Management haben möglicherweise direkte Einsicht in und Kontrolle über eine beträchtliche Anzahl dieser Kunden. Jedoch sind viele Kunden, die noch nicht aktualisiert wurden, wahrscheinlich nicht verwaltete BYODs. WLAN-Administratoren helfen, diesen Abstand zu schließen, indem sie eine drahtlose IPS verwenden, um ihren eigenen drahtlosen Kundenbestand mit 24/7-Überwachung zu bewerten, um den Verkäufer und die OS-Version zu festzustellen und dann die Arbeitsplatz-Clients zu identifizieren, die noch geändert werden müssen. Eine drahtlose IPS kann auch hilfreich sein, die Anwesenheit eines Evil Twin-APs zu entdecken, das möglicherweise versucht, Kunden ohne das Patch auszunutzen.

Während Apple schnell gehandelt hat, um diese Verwundbarkeit zu beheben, sollten die Ereignisse der letzten Woche auch als Weckruf dienen. Organisationen müssen vorbereitet sein, beim Auftreten von künftigen schweren Verwundbarkeiten schnelles Patchen von Mobilgerät-BS anzuregen und die Ergebnisse zu überprüfen, um die Identifizierung, den Standort und die Aktion zu identifizieren, um diese verletzbaren Nachzügler mitzuziehen. Kunden von NETSCOUT AirMagnet Enterprise sind bereits gut mit der richtigen Infrastruktur platziert, um diesen Bedarf zu erfüllen - in diesem Fall hilft dies, jene restlichen „faulen Äpfel“ auszusortieren.

 

Zugehörige WLAN-Betriebsmittel
 

Besuchen Sie unser Ressourcen-Center auf für BYOD, White Paper-Downloads, Webinars und mehr.

Machen Sie weiter mit unserem AirWise-Community-Blog - eine Ressource für drahtlose Netzwerk-Technologie.

 
 
Powered By OneLink