- Web-Timing-Angriffe sind seit langem theoretisch bekannt, aber die praktische Anwendung war oft schwierig. James Kettle von PortSwigger hat neue Web-Timing-Angriffstechniken entwickelt, die drei verschiedene Schwachstellenkategorien aufdecken können. Timing-Angriffe wurden durch verfeinerte Techniken genauer und zuverlässiger. Kettle zeigte auf der Black Hat-Konferenz, wie Timing-Angriffe genutzt werden können, um Webanwendungs-Firewalls zu umgehen. Neue Tools für die Sicherheitsgemeinschaft wurden in Burp Suite integriert, um Timing-Angriffe einfacher nutzbar zu machen.
Bereits seit langem ist bekannt, dass man durch die Messung der Zeitspanne, die verschiedene Anfragen zur Erfüllung benötigen, versteckte Informationen über das Innenleben einer Webseite extrahieren kann. Diese sogenannten “Web-Timing-Angriffe” werden schon seit Jahren beschrieben. Aber in der Praxis waren sie oft zu komplex für tatsächliche Angreifer, selbst wenn sie theoretisch funktionierten. Auf der Black Hat Sicherheitskonferenz in Las Vegas diese Woche, warnte jedoch ein Forscher, dass diese Angriffe reifer und einladender für Ausbeutungen seien als je zuvor.
Neue Techniken entdeckt
James Kettle, Direktor der Forschungsabteilung des Webanwendungssicherheitsunternehmens PortSwigger, entwickelte eine Reihe von Web-Timing-Angriffstechniken, mit denen drei verschiedene Kategorien von Schwachstellen auf Websites aufgedeckt werden können. Er validierte die Methoden mit einer Testumgebung, die 30.000 echte Websites umfasste, die alle Bug-Bounty-Programme anbieten. Kettle sagt, das Ziel seiner Arbeit sei es zu zeigen, dass Timing-Angriffe machbarer werden, sobald man ein konzeptionelles Verständnis für die Art von Informationen hat, die sie liefern können. „Ich habe Timing-Angriffe immer gemieden, weil das Thema einen Ruf hat“, sagt Kettle. „Jeder forscht daran und sagt, ihre Forschung sei praktisch, aber niemand scheint Timing-Angriffe tatsächlich im wirklichen Leben zu nutzen.“
Ein Teil seiner Inspiration kam aus einer Forschungsarbeit aus dem Jahr 2020, die das Problem des sogenannten “Netzwerkruckelns” untersuchte. Diese Schwankungen entstehen durch Zeitverzögerungen zwischen dem Senden und Empfangen eines Signals im Netzwerk und können Timing-Messungen verzerren. Die Studie zeigt jedoch, dass man beim Senden von Anfragen über das ubiquitäre HTTP/2-Netzwerkprotokoll zwei Anfragen in ein einziges TCP-Kommunikationspaket stecken kann, um sicherzustellen, dass beide Anfragen gleichzeitig beim Server ankommen. Die Antworten kommen dann geordnet zurück, sodass die schneller verarbeitete Antwort zuerst und die länger dauernde Antwort zweitens eintrifft.
Verlässliche Ergebnisse durch neue Methoden
Web-Timing-Angriffe gehören zu einer Klasse von Hacks, bei denen der Angreifer Informationen über ein Ziel aufgrund seiner realen, physischen Eigenschaften sammelt. In seiner neuen Arbeit verfeinerte Kettle die Technik der “zeitlosen Timing-Angriffe” zur Reduzierung von Netzwerkrauschen und ergriff auch Maßnahmen zur Behebung ähnlicher Probleme mit serverbezogenem Rauschen, um seine Messungen genauer und zuverlässiger zu machen. Er begann dann, Timing-Angriffe zu nutzen, um ansonsten unsichtbare Codierungsfehler und Schwachstellen auf Websites zu finden, die normalerweise schwer für Entwickler oder Angreifer zu erkennen sind.
Neben dem Auffinden verborgener Schwachstellen mit Timing-Angriffen entwickelte Kettle auch effektive Techniken zur Erkennung von zwei weiteren häufigen Arten ausnutzbarer Webfehler. Eine davon ist als serverseitige Injektionsschwachstelle bekannt, die es einem Angreifer ermöglicht, bösartigen Code einzuschleusen, um Befehle zu senden und auf Daten zuzugreifen, die eigentlich nicht verfügbar sein sollten. Die andere Schwachstelle, als fehlkonfigurierte Reverse-Proxies bekannt, ermöglicht es, unbeabsichtigt auf ein System zuzugreifen.
In seiner Präsentation bei Black Hat demonstrierte Kettle, wie er einen Web-Timing-Angriff nutzen könnte, um eine Fehlkonfiguration aufzudecken und letztlich eine Webanwendungs-Firewall zu umgehen. „Weil Sie diese Fehlkonfiguration des inversen Proxies gefunden haben, umgehen Sie einfach die Firewall“, sagte er vor seinem Vortrag. „Es ist absolut trivial, sobald Sie diese entfernten Proxies gefunden haben, und Timing-Angriffe eignen sich gut dafür, diese Probleme zu finden.“
Neue Tools für die Sicherheitsgemeinschaft
Zusammen mit seinem Vortrag veröffentlichte Kettle Funktionalitäten für das Open-Source-Schwachstellenscanner-Tool. Das Tool ist eine Erweiterung für die beliebte Webanwendungssicherheitsbewertungsplattform Burp Suite, die von Kettles Arbeitgeber PortSwigger entwickelt wurde. Kettle möchte das Bewusstsein für die Nützlichkeit von Web-Timing-Angriffen schärfen. Er möchte auch sicherstellen, dass diese Techniken auch dann zur Verteidigung genutzt werden, wenn die zugrunde liegenden Konzepte nicht vollumfänglich verstanden werden. „Ich habe all diese neuen Funktionen in Param Miner integriert, damit Leute, die davon nichts wissen, dieses Tool verwenden und einige dieser Schwachstellen finden können“, sagt Kettle. „Es zeigt den Leuten Dinge, die sie sonst übersehen hätten.“
