Maschinenidentitäten - Wildcard-Zertifikate
NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen
Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion Attack (ALPACA), der durch die Verwendung von Wildcard-Zertifikaten durch Unternehmen ausgenutzt werden kann. Diese Angriffsmethode ermöglicht es Angreifern, Maschinenidentitäten zu verwirren, wenn sie auf mehreren Protokollen und Servern laufen und auf verschlüsselte HTTPS-Anfragen über unverschlüsselte Protokolle antworten. Erfolgreiche Angreifer könnten Cookies und private Benutzerdaten extrahieren und zu ihrem finanziellen Vorteil nutzen.
Die NSA empfiehlt:
- Den Geltungsbereich jedes im Unternehmen verwendeten Wildcard-Zertifikats zu verstehen.
- Verwendung eines Anwendungs-Gateways oder einer Web Application Firewall vor Servern, einschließlich Nicht-HTTP-Servern.
- Verwendung von verschlüsseltem DNS und Validierung von DNS-Sicherheitserweiterungen, um DNS-Umleitungen zu verhindern.
- Aktivierung von Application-Layer Protocol Negotiation (APLN), einer TLS-Erweiterung, die es dem Server/der Anwendung ermöglicht, zulässige Protokolle zu spezifizieren, wo dies möglich ist.
- Pflege von Webbrowsern auf der neuesten Version mit aktuellen Updates.
Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi kommentiert:
„Die Richtlinie der National Security Agency (NSA), weist auf die Gefahren von Wildcard-TLS-Zertifikaten, auch bekannt als Maschinenidentitäten, hin, dass ist ein positiver Schritt. Venafi und mehrere Sicherheitsforscher haben Organisationen schon seit Jahren vor dieser Gefahr gewarnt. Ein Wildcard-Zertifikat ist ein öffentliches Schlüsselzertifikat, das für mehrere Subdomänen gleichzeitig verwendet werden kann. Normalerweise verwenden Unternehmen Wildcard-Zertifikate, um Kosten zu sparen und weil Sicherheitsteams sie für die Verwaltung ihrer Maschinenidentitäten als hilfreich erachten. Dies ist jedoch ein zweischneidiges Schwert: Einerseits sind sie so einfach zu verwenden, andererseits vergessen Sicherheitsteams oft, sie regelmäßig zu kontrollieren und auszutauschen. Ohne angemessene Sicherheit und Kontrolle von Wildcard-Zertifikaten können Cyberkriminelle sie für andere Angriffe – wie Phishing – ausnutzen.
Dennoch vertrauen Unternehmen nach wie vor blindlings auf alle Zertifikate und den verschlüsselten Datenverkehr, obwohl sie wissen, dass Cyberkriminelle dieses Vertrauen für Angriffe ausnutzen können. Eine Vielzahl von Stimmen aus dem öffentlichen Sektor und der Industrie, darunter auch Gartner, haben bereits 2012 zu diesem Thema Alarm geschlagen. Bislang wurden jedoch kaum Maßnahmen ergriffen. Unternehmen müssen diese Warnung beherzigen und jetzt ein angemessenes Kontroll- und Maschinenidentitäts-Management einrichten. Die einzige Möglichkeit für die Sicherheitsverantwortlichen dies zu verhindern, besteht darin alle Zertifikate, die sie für jede ihrer Domänen und Subdomänen verwenden, vollständig zu überwachen. Außerdem können sie mithilfe der Bewertung der Zertifikatsreputation erkennen, ob sie für schändliche Zwecke verwendet werden.“
