Vulnérabilité "POODLE" dans SSL3

Qu'est-ce que la vulnérabilité Poodle?

La vulnérabilité "Poodle", publiée le 14 octobre 2014 , est une attaque contre le protocole SSL 3.0. C'est une faille , pas un problème d'implémentation; chaque implémentation de SSL 3.0 en souffre. Veuillez noter que nous parlons de l'ancien SSL 3.0, pas TLS 1.0 ou version ultérieure. Les versions TLS ne sont pas affectées (ni DTLS).

En résumé: lorsque SSL 3.0 utilise un chiffrement par bloc en mode CBC, le processus de chiffrement d'un enregistrement utilise - padding de sorte que la longueur des données est un multiple de la taille du bloc. Par exemple, supposons que 3DES soit utilisé, avec des blocs de 8 octets. Un MAC est calculé sur les données d'enregistrement (et le numéro de séquence d'enregistrement, et quelques autres données d'en-tête) et ajouté aux données. Ensuite, 1 à 8 octets sont ajoutés, de sorte que la longueur totale est un multiple de 8. De plus, si n octets sont ajoutés à cette étape, le dernier de ces octets doit avoir la valeur n-1. Ceci est fait pour que le décryptage fonctionne.

Considérons le déchiffrement d'un enregistrement: le déchiffrement 3DES-CBC est appliqué, puis le dernier octet est inspecté: il doit contenir une valeur comprise entre 0 et 7, et cela nous indique combien d'autres octets ont été ajoutés pour le remplissage. Ces octets sont supprimés et, surtout, leur contenu est ignoré. C'est le point important: il y a des octets dans l'enregistrement qui peuvent être modifiés sans que le destinataire ne s'en soucie le moins du monde.

L'attaque Poodle fonctionne dans un contexte de texte en clair choisi, comme BEAST et CRIME avant elle. L'attaquant s'intéresse aux données protégées par SSL et il peut:

• injecter ses propres données avant et après la valeur secrète qu'il souhaite obtenir;
• inspecter, intercepter et modifier les octets résultants sur le fil.

Le scénario principal et à peu près plausible dans lequel de telles conditions sont remplies est un contexte Web: l'attaquant exécute un faux point d'accès WiFi et injecte son propre Javascript dans le cadre d'une page Web (HTTP, pas HTTPS) que la victime parcourt. Le Javascript malveillant fait que le navigateur envoie des demandes à un site HTTPS (par exemple, un site Web bancaire) pour lequel le navigateur de la victime a un cookie. L'attaquant veut ce cookie.

L'attaque se poursuit octet par octet. Le Javascript de l'attaquant fait en sorte que la demande soit telle que le dernier octet de cookie se produise à la fin d'un bloc de chiffrement (l'un des blocs de 8 octets de 3DES) et que la longueur totale de la demande implique un remplissage de bloc complet. Supposons que les 8 derniers octets de cookie aient des valeurs c, c₁, ... c₇. Lors du cryptage, CBC fonctionne comme ceci:

Donc, si le bloc chiffré précédent est e, e₁, ... e₇, alors ce qui entre dans 3DES est c XOR e, c₁ XOR e₁, ... c₇ XOR e₇. Le e_je les valeurs sont connues de l'attaquant (c'est le résultat chiffré).

Ensuite, l'attaquant, de l'extérieur, remplace le dernier bloc de l'enregistrement chiffré par une copie du bloc qui contient le dernier octet de cookie. Pour comprendre ce qui se passe, vous devez savoir comment fonctionne le déchiffrement CBC:

Le dernier bloc de texte chiffré est ainsi déchiffré, ce qui donne une valeur se terminant par c₇ XOR e₇. Cette valeur est ensuite XORed avec le bloc chiffré précédent. Si le résultat se termine par un octet de valeur 7 (qui fonctionne avec la probabilité 1/256), l'étape de suppression du remplissage supprimera les 8 derniers octets et se retrouvera avec le texte en clair et le MAC intacts, et le serveur sera content. Sinon, soit le dernier octet ne sera pas dans la plage 0..7, et le serveur se plaindra, soit le dernier octet sera compris entre 0 et 6, et le serveur supprimera le mauvais nombre d'octets, et le MAC ne le fera pas. correspond et le serveur se plaindra. En d'autres termes, l'attaquant peut observer la réaction du serveur pour savoir si le résultat du déchiffrement CBC a trouvé un 7 ou autre chose. Lorsqu'un 7 est obtenu, le dernier octet de cookie est immédiatement révélé.

Lorsque le dernier octet de cookie est obtenu, le processus est exécuté à nouveau avec l'octet précédent, etc.

Le point central est que SSL 3.0 est défini comme ignorant les octets de remplissage (sauf le dernier). Ces octets ne sont pas couverts par le MAC et n'ont aucune valeur définie.

TLS 1.0 n'est pas vulnérable car dans TLS 1.0, le protocole spécifie que tous les octets de remplissage doivent avoir la même valeur, et les bibliothèques implémentant TLS vérifient que ces octets ont les valeurs attendues. Ainsi, notre attaquant ne peut pas avoir de chance avec une probabilité 1/256 (2^-8), mais avec probabilité 1/18446744073709551616 (2^-64), ce qui est nettement pire.

J'utilise [product]. Suis-je affecté? Est [product] vulnérable à l'attaque du caniche?

Le scénario d'attaque nécessite que l'attaquant puisse injecter ses propres données, et pour intercepter les octets chiffrés. Le seul contexte plausible où une telle chose se produit est un navigateur Web, comme expliqué ci-dessus. Dans ce cas, Poodle est, comme BEAST et CRIME, une attaque sur le client, pas sur le serveur.

Si [product] est un navigateur Web, vous pourriez être affecté. Mais cela dépend aussi du serveur. La version de protocole utilisée est une négociation entre le client et le serveur; SSL 3.0 ne se produira que si le serveur est d'accord. Ainsi, vous pourriez-vous considérer que votre serveur est "vulnérable" s'il autorise l'utilisation de SSL 3.0 (c'est techniquement incorrect, car l'attaque est côté client dans un contexte Web, mais je m'attends à ce que Des compteurs de sécurité SSL pour fonctionner de cette façon).

Conditions pour que la vulnérabilité se produise: SSL 3.0 pris en charge, et sélection d'une suite de chiffrement basée sur CBC (le chiffrement RC4 n'a pas de remplissage, n'est donc pas vulnérable à cette attaque spécifique - mais RC4 a d'autres questions, bien sûr).

Solutions de contournement:

• Désactivez la prise en charge de SSL 3.0 dans le client.
• Désactivez la prise en charge de SSL 3.0 sur le serveur.
• Désactivez la prise en charge des suites de chiffrement basées sur CBC lors de l'utilisation de SSL 3.0 (sur le client ou le serveur).
• Implémentez cette nouvelle extension SSL/TLS pour détecter quand un attaquant actif coupe les connexions pour forcer votre client et votre serveur à utiliser SSL 3.0, même si les deux connaissent TLS 1.0 ou mieux. Le client et le serveur doivent l'implémenter.

Chacune de ces quatre solutions évite la vulnérabilité.

Que dois-je faire pour sécuriser mon [product] par rapport à cette vulnérabilité?

Comme toujours. Votre fournisseur publie des correctifs de sécurité; installez-les. Installez les correctifs. Tous les patchs. Faites ça. Pour Poodle et pour toutes les autres vulnérabilités. Vous ne pouvez pas vous permettre de ne pas les installer, et ce n'est pas nouveau. Vous devriez déjà le faire. Si vous n'installez pas les patchs, Níðhöggr dévorera votre rate.

Comment détecter les attaques Poodle sur mon réseau?

Non! Étant donné que la configuration d'attaque la plus probable implique que l'attaquant attire la victime sur le réseau leur, pas le vôtre.

Bien que, côté serveur, vous souhaitiez peut-être réagir à un nombre excessif de demandes qui échouent en cas d'erreur de déchiffrement. Tous les logiciels de serveur n'enregistreront pas les événements pour de tels cas, mais cela devrait être dans les possibilités de tout système IDS décent.

Y a-t-il des attaques connues de Poodle?

Pas à ma connaissance. En fait, lorsque vous contrôlez toutes les E/S externes de la victime, il est encore beaucoup plus facile d'attirer simplement le pauvre gazon sur une fausse copie de son site bancaire. Les attaques cryptographiques sont soignées, mais elles impliquent plus d'efforts que l'exploitation du puits sans fond de la crédulité de l'utilisateur.