Nieuws

Belgische onderzoekers ontdekken lek in HTTPS

Het HTTPS-protocol, dat veilige communicatie met websites toelaat, is niet helemaal waterdicht, zo ontdekten twee beveiligingsonderzoekers van de KU Leuven.
Beeld: Ars Technica

Twee beveiligingsonderzoekers die verbonden zijn aan de KU Leuven hebben een kwetsbaarheid ontdekt in HTTPS, het protocol dat een veilige uitwisseling van gegevens toelaat met websites. De onderzoekers presenteren hun bevindingen op de Black Hat-conferentie in Las Vegas, schrijft Ars Technica.

Opmerkelijk is dat er geen man-in-the-middle-aanval nodig is om misbruik te maken van het lek. Het volstaat dat er een stukje kwaadaardige JavaScript-code op een door HTTPS beveiligde webpagina wordt geïnjecteerd, bijvoorbeeld via een advertentie. Die code kan vervolgens exact de bestandsgrootte meten van de versleutelde data die wordt verstuurd. Eenmaal een aanvaller de bestandsgrootte weet, kan die (gevoelige) informatie – gedecrypteerd worden met behulp van twee eerder ontdekte exploits, BREACH en CRIME. Die maken misbruik van een kwetsbaarheid in de manier waarop websites bestanden comprimeren om webpagina’s sneller te laden.

[related_article id=”178323″]Omdat HEIST – kort voor HTTP Encrypted Information can be Stolen Through TCP-Windows – geen man-in-the-middle-positie vereist, maakt de exploit het uitvoeren van heel wat cyberaanvallen een stuk eenvoudiger, zo stellen onderzoekers Tom Van Goethem en Mathy Vanhoef. De twee hebben hun bevindingen reeds onthuld aan onderzoekers bij Google en Microsoft en zullen de exploit deze week demonstreren op securityconferentie Black Hat in Las Vegas.

De exploit zou potentieel in staat kunnen zijn om heel wat schade aan te richten, zo waarschuwen Van Goethem en Vanhoef. “De meeste schade kan waarschijnlijk worden aangericht in combinatie met BREACH, omdat die exploit toelaat om CSRF-tokens uit te lezen. Afhankelijk van de functionaliteit die een website aanbiedt, kan een aanvaller met behulp van de CSRF-token het volledige account van zijn slachtoffer overnemen,” legt Van Goethem uit aan Ars Technica.

Het enige dat je volgens Van Goethem kan doen om jezelf te beschermen is third-party cookies uitschakelen. In dat geval wordt de informatie die door de website wordt teruggestuurd niet langer met jou geassocieerd. Momenteel staat het ontvangen van third-party cookies standaard geactiveerd in elke webbrowser en sommige online diensten werken zelfs niet zonder die toestemming.

Toch is het lang niet zeker dat HEIST ook effectief zal worden misbruikt in het wild. Hoewel het aanvallen vereenvoudigd, komt er nog altijd heel wat werk bij kijken. De code moet namelijk specifiek per website worden geschreven, waardoor het moeilijk is om de exploit op grote schaal in te zetten. Ook BREACH, een exploit die al drie jaar bekend is, werd tot op heden nog niet in het wild misbruikt.

Beveiligingblack hatexploitheisthttpskwetsbaarheide

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600