Der Webforscher David Eade hat wie in einem Bericht von „the Register“ bekannt wurde, die Schwachstelle CVE-2020-8987 in Avast gefunden und an die Firma kommuniziert. Dies ist ein Trio von Fehlern, die, wenn sie kombiniert werden, von einem Hacker ausgenutzt werden können, um die Verbindungen eines AntiTrack-Benutzers selbst zu stark abgesicherten Webseiten stillschweigend abzufangen und zu manipulieren.
Bei der Verwendung von AntiTrack werden die Webverbindungen durch die Proxy-Software geleitet, so dass diese Tracking-Cookies und ähnliches entfernen kann, was für eine bessere Privatsphäre sorgt. Wenn sich AntiTack jedoch im Namen eines Nutzers mit Webseiten verbindet, überprüft es nicht, ob es tatsächlich mit den legitimen Webseiten spricht. So kann ein Angreifer sich zwischen AntiTrack und der Webseite, die sie besuchen möchten, ihre Webseitenanfragen auf einen bösartigen Server umleiten. Dieser gibt sich als der echte Server aus und schnüffelt dem Nutzer hinterher. Die Fehler betreffen sowohl die Avast- als auch die AVG-Version von AntiTrack, und Kunden wird empfohlen, ihre Software zu aktualisieren, denn inzwischen wurde eine Korrektur für beide Tools veröffentlicht und ausgerollt.
Kevin Bocek VP Security Strategy & Threat Intelligence bei Venafi kommentiert den Vorfall wie folgt:
„MitM-Angriffe bieten Hackern die Gelegenheit, Benutzer auszutricksen und Passwörter, Authentifizierungscodes und vieles mehr zu erbeuten. Dies ist leider nur allzu einfach, wenn Software das Vertrauen und die Privatsphäre der Maschinenidentitäten aufbricht. Die Avast-Software wurde von Kunden installiert, um Vireninfektionen zu stoppen, aber stattdessen haben sie es Hackern überall auf der Welt ermöglicht, ihre bösartige Website als vertrauenswürdig erscheinen zu lassen und sich jeder Validierungsprüfung zu entziehen. Darüber hinaus hat AVAST die Privatsphäre der Verbindungen mit Hilfe der alten TLS-Standards die Verschlüsselung herabgestuft, was Angriffe noch einfacher machte. Dies ist nur ein weiterer Grund, warum Unternehmen einen vollständigen Überblick über alle verwendeten Maschinenidentitäten und die von ihnen erstellten verschlüsselten Tunnel behalten müssen.
Trotz des breiten Bewusstseins über die Sicherheitsrisiken, die mit MitM-Angriffen verbunden sind, stellen sie immer noch eine ständige Bedrohung dar. Sie stellen eine ernsthafte Gefahr dar, weil sie die gesamte Kommunikationskette gefährden. MitM-Angreifer versuchen, stillschweigend den abgefangenen Verkehr von der Verschlüsselung zu trennen, um den Datenverkehr zu lesen, zu manipulieren oder an ein Ziel ihrer Wahl umzuleiten. Für die Einrichtung eines MitM-Angriffs ist es von entscheidender Bedeutung, dass das Opfer den Angreifer nicht kennt, was am leichtesten durch die missbräuchliche Verwendung der Schlüssel und Zertifikate, die als Maschinenidentitäten dienen, erreicht wird.
Einer der häufigsten MitM-Angriffe ist HTTPS-Spoofing; hier ist eine Aufschlüsselung dieser Angriffsart:
- Der Angreifer registriert einen Domänennamen und erstellt eine echt aussehende Webseite, die einer bestimmten legitimen Website ähnelt.
- Er installiert ein SSL-Zertifikat auf der Website, um sie sicher erscheinen zu lassen.
- Der Angreifer sendet einen Link über E-Mail oder andere Social-Engineering-Kanäle an sein beabsichtigtes Opfer.
- Der Benutzer klickt auf diesen Link und navigiert zu der gefälschten Seite/Seite. Der Browser des Benutzers zeigt an, dass das Zertifikat der Website gültig und sicher ist, so dass es als vertrauenswürdig erscheint.
- Der Benutzer glaubt, dass er mit einer legitimen verschlüsselten Website interagiert, aber er interagiert tatsächlich mit einem böswilligen Akteur.“