Schwachstelle Password Reset Prozess

Sicherheitslücken im Password Reset Process

Sicherheitslücken im Password Reset Process

Password Reset Man-in-the-Middle Angriff

Erst kürzlich haben Forscher der IEEE Computer Society in einem 17-seitigen Forschungsbericht gezeigt, wie man einen Man-in-the Middle Angriff gegen ein Password-Reset System startet, um so die Benutzerpasswörter des Opfers zurücksetzen und anschließend die entsprechenden E-Mail- oder Social Media-Accounts übernehmen zu können.

Der PRMITM-Angriff startet beispielsweise mit einer manipulierten Webseite, die kostenlose und coole Apps anbietet, die sonst nur kostenpflichtig zu erwerben wären. Um den evtl. noch zweifelnden User weiter zu ködern, wird das Opfer gebeten, sich für den Erhalt der App noch kostenlos zu Registrieren. Für die kostenlose Registrierung wird ein nicht funktionierende Captcha-Frage eingebaut, die nach einer folglich falschen Eingabe des Opfers, ein oder mehrere, für den User, alt bekannte Sicherheitsfragen (aus Facebook, E-Mail Accounts, etc.) auslöst, wie z.B.: „Was ist der Name deines besten Freundes“. Wenn der User bis dahin soweit motiviert wurde, die gratis Software unbedingt zu erhalten, wird er sehr wahrscheinlich auch darauf antworten. Die erhaltenen Informationen (E-Mail-Adresse und Sicherheitsfrage…) werden dann für das Password Reset Modul der Opfer-Website-Konten, z.B. bei Google, Facebook oder Snapchat, verwendet.

Die einzelnen Schritte:

  1. Benutzer kommt auf die manipulierte Webseite und möchte die kostenlose Software herunterladen.
  2. Angreifer bittet den Benutzer, sich kostenlos anzumelden, um auf den Download zugreifen zu können
  3. Eingebaute, nicht lösbare Captcha-Abfrage löst eine bekannte Sicherheitsfrage aus
  4. Opfer antwortet
  5. Angreifer erhält die E-Mail-Adresse und Antwort der Sicherheitsabfrage des Opfers
  6. Der Angreifer greift auf die Website des E-Mail-Dienstanbieters zu und leitet einen Passwort-Reset-Prozess ein
  7. Die vom E-Mail-Dienstleister gestellten Fragen für eine neue Registrierung, z.B.: Sicherheitsfrage, Captcha, etc. wird vom Angreifer beantwortet
  8. Der Cross-Site-Angreifer wird zum „Man-in-the-Middle“ bei dem Password Reset Process
  9. Das Konto ist kompromittiert

Dies ist nur das einfachste Beispiel für eine solche Password Reset Man-in-the-Middle –Attacke. Die Variationsmöglichkeiten sind nahezu unbegrenzt.

Mit entsprechenden Erweiterungen dieses Basisangriffs, die hier nicht weiter aufgeführt werden, können die Angreifer auch zusätzliche Password Reset Mechanismen, wie z.B. SMS-Bestätigungen oder Roboter-Anrufe aushebeln. Der Grund liegt vor allem in der Unachtsamkeit des Benutzers, der eine Nachricht oft nicht vollständig liest. Gerade wenn er einen Bestätigungscode erwartet, wird er wahrscheinlich wieder seine Informationen naiv übergeben.

„Informative Passwort-Reset-Nachrichten verhindern nicht die Ausnutzung der Benutzer, vor allem nicht, wenn die User den Text ignorieren und einfach den Code kopieren. Der PRMitM-Angriff kann auch sehr beliebte Webseiten-Konten (z.B. Facebook) mit minimalen Informationen des Users (z.B. nur die Telefonnummer) übernehmen“, sagen die Forscher.

Nach weiteren erfolgreichen Experimenten haben die Forscher ihre Erkenntnisse an die dafür potentiell anfälligen Unternehmen, wie Google, Snapchat, Yahoo, LinkedIn, Facebook oder Yandex, weitergegeben. Alle, außer Facebook, haben auf diese Erkenntnisse reagiert.

Fazit

Diese Angriffsmethode ist von der Stärke eines verwendeten Passworts völlig unabhängig. Es gilt immer noch die goldene Regel, NIE – Dateien aus unbekannten oder nicht verifizierten Webseiten herunterzuladen.