GlobalSign Blog

25 Feb 2015

Lenovo-Computer erlauben Man-in-the-Middle-Angriffe über Superfish Adware

Lenovo bietet Computer an, die die Superfish-Applikation enthalten. Sie ergänzt die SSL-Sitzungen eines Benutzers, damit die zugehörige Adware Inhalte transparent übermitteln kann. Allerdings hat die Sache einen entscheidenden Nachteil: Die Sicherheitsstruktur ist schwach und macht die Benutzer anfällig für Man-in-the-Middle-Angriffe (MITM).

So sollte es funktionieren

Superfish verwendet das Programm "Visual Discovery", um Bilder in Browser-Inhalten zu verarbeiten, und zeigt dann Werbung für ähnliche Waren und Dienstleistungen an. Das klingt zunächst wie bei jeder anderen Adware-Anwendung auch. Aber um SSL-Sitzungen aufrecht zu erhalten und Benutzer nicht mit Sicherheitswarnungen zu alarmieren, hält Superfish diese Bilder über https bereit. Das wird möglich, da die SSL-Zertifikate On-the-Fly erstellt und in einem lokalen SSL-Proxy verwendet werden, um Inhalte vom Visual Discovery-Server scheinbar über die gleiche Domain zu übertragen.

So laufen typische MITM-Angriffe ab

Bei MITM-Angriffen schaltet der Angreifer sich selbst zwischen den Nutzer und die Website, die er erreichen will. So wie im folgenden Beispiel https://www.bank.com. Wenn das passiert, gibt es für den Benutzer in der Regel einige Indizien dafür, dass er nicht direkt mit https://bank.com  kommuniziert. Zum Beispiel:

  • die URL hat sich zu einer ähnlichen URL verändert, wie z.B. https://www.bank1.com oder
  • er erhält eine Warnung vor vermischten Inhalten; die Warnung besagt, dass einige der Inhalte nicht gesichert sind, oder
  • er erhält eine Warnung vor einem nicht vertrauenswürdigen Zertifikat, weil der Angreifer sein eigenes SSL-Zertifikat www.bank.com erstellt hat, ohne eine vertrauenswürdige Root zu verwenden.

Man in the middle Attacke

Kompromittierte Root verbessert die Effektivität von MITM-Angriffen

Das Root-Zertifikat und eine verschlüsselte Version des privaten Schlüssels der Root sind auf allen betroffenen Systemen enthalten – eine unzureichende Sicherheitspraxis, da der private Schlüssel einer Root immer sicher und offline aufbewahrt werden sollte. Rob Graham, CEO der Sicherheitsfirma Errata Security brauchte dementsprechend nicht besonders lange, um das Passwort für den privaten Schlüssel zu knacken.

Der private Schlüssel ist jetzt frei, und Angreifer können SSL-Zertifikate generieren, denen von diesen Lenovo-Systemen aus für jede Website im Internet vertraut wird. Benutzer haben keinerlei Hinweise darauf, dass sie mit einem Angreifer kommunizieren. Denn: https://www.bank.com verwendet ein SSL-Zertifikat, dem sie vertrauen. Öffentliche WLAN-Hotspots sind für Angreifer ein idealer Ort, um sich zwischen Nutzer und Website zu schalten.

Man in the Middle Attacke

Was ist mit Code-Signing Angriffen?

Da die Superfish-Root für alle Schlüsselverwendungen markiert ist, kann sie zusätzlich verwendet werden, um Malware zu signieren und diese unbemerkt auf Lenovo-Geräten zu installieren. Obwohl dazu noch keine Meldungen bekannt geworden sind, ist das Ganze nur eine Frage der Zeit und Abhilfe dringend nötig.

Wie Sie feststellen, ob Sie betroffen sind

Der Umfang des Problems ist laut Lenovo begrenzt und sollte nur Benutzer betreffen, die diese Systeme, ausgeliefert zwischen Oktober und Dezember 2014, erworben haben. Wie Chris Palmer berichtet, sind einige davon noch nicht verkauft. Es gibt allerdings auch andere Berichte, die besagen, dass Superfish bereits Mitte 2014 auf einigen Systemen aufgetaucht ist.

Wenn Sie auf einem Lenovo-System arbeiten, schauen Sie zuerst in den Microsoft Root CA-Schlüsselspeicher (gehen Sie im IE zu Extras => Internetoptionen => Inhalte => Zertifikate => vertrauenswürdige Stammzertifikate) und suchen dort nach der Superfish-CA. Wenn Sie das Superfish Root Zertifikat sehen, ist das ein schlechtes Zeichen und sie sollten die Root sofort "Entfernen". Alternativ können Sie Ihr System hier testen.

So minimieren Sie Ihr Sicherheitsrisiko

Betroffene Benutzer können die Anwendung deinstallieren oder den zugrunde liegenden Windows-Dienst (Visual Discovery) anhalten, um die Adware-Funktion zu deaktivieren. Das grundlegende Sicherheitsproblem einer kompromittierten Root (siehe obige Erklärung möglicher MITM Angriffe) bleibt bestehen. Lenovo arbeitet an einem Patch, um die Schwachstelle dauerhaft zu beheben. Microsoft, Google und die anderen Browser-Anbieter arbeiten ebenfalls an Updates, um diese Root in ihren Browsern auf die schwarze Liste zu setzen und effektiv zu widerrufen.

In der Zwischenzeit können Sie bereits folgendes tun:

  • Führen Sie ein Windows-Update durch. Microsoft hat eventuell ein Windows Defender Update veröffentlicht.
  • Deinstallieren Sie die Superfish-Anwendung.
  • Löschen Sie die Superfish Root CA aus dem Microsoft Root-Schlüsselspeicher.
  • Ausführliche Hinweise zum Entfernen der Anwendung und des Root-Zertifikats finden Sie hier.
  • Erwägen Sie, Firefox zum Surfen einzusetzen. Firefox verwendet eigene Schlüsselspeicher, sodass die Superfish Root dort nicht vertrauenswürdig ist. Nach  Berichten des Decentralized SSL Observatory sind allerdings auch Firefox-Nutzer schon dieser Schwachstelle zum Opfer gefallen. Es ist also auch in dieser Hinsicht Vorsicht geboten.

Gibt es weitere Anwendungen, die die gleichen Toolkits verwenden?

Die von Superfish verwendete Plattform zur Zertifikatsinjektion um Anzeigen auszugeben, wird von der Firma Komodia (identisch mit dem Passwort für privaten Schlüssel) bereitgestellt. Komodia’s SDK wird über Superfish hinaus tatsächlich in anderen Programmen verwendet. Jedes verfügt über seinen eigenen privaten Schlüssel mit dem gleichen Komodia-Kennwort im Produktpaket. Dies wirft die Frage auf, ob ein ähnlicher Angriff bei anderen Programmen ebenfalls passieren kann, wie zum Beispiel bei Qustodio, Komodias Keep My Family Secure und Kurupira-Webfilter.

Nächste Schritte

Wenn Sie vermuten Opfer eines MITM-Angriffes zu sein, sollten Sie sämtliche Passwörter der besuchten Websites ändern und auf verdächtiges Verhalten bei allen wichtigen Accounts achten.

Weitere Artikel zum Thema:

http://www.csoonline.com/article/2886396/malware-cybercrime/lenovo-shipping-laptops-with-pre-installed-adware-that-kills-https.html#tk.rss_all
https://www.eff.org/deeplinks/2015/02/further-evidence-lenovo-breaking-https-security-its-laptops
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html#.VOYJ-C6qH20
http://thenextweb.com/insider/2015/02/19/lenovo-caught-installing-adware-new-computers/
http://arstechnica.com/security/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware-that-breaks-https-connections/

Artikel teilen