Protokół SSL/TLS podatny

Microsoft wydał poradnik bezpieczeństwa informujący o luce w protokole SSL (Secure Socket Layer) i TLS (Transport Layer Security). Wykorzystywanie tej luki może pozwolić atakującemu na odszyfrowanie ruchu SSL/TLS i uzyskanie wrażliwych informacji.

Głównym celem ataku jest przeglądarka i wykorzystywany przez nią protokół HTTPS. Atakujący może wstrzyknąć złośliwy kod w odpowiedź HTTP, wymuszając na przeglądarce wykonanie tego kodu. Nastepnie kod będzie wysyłał kilka zapytań wewnątrz sesji TLS/SSL do kolejnej witryny HTTPS. Wykorzystując atak "man-in-the-middle", napastnik jest w stanie przechwycić komunikacją https i wykorzystując podatność w SSL - będzie w stanie rozszyfrować część szyfrowanego ruchu, np. authorisation cookies.

Obecnie nie opublikowano odpowiedniej łaty, jednakże należy zastosować któreś obejście proponowane przez Microsoft:

  • wymuszenie stosowania algorytmu RC4 w systemach Windows Vista, Windows Server 2008 i późniejszych (atak jest tylko możliwy na algorytmach wykorzystujących szyfrowanie blokowe np. AES);
  • włączenie TLS 1.1 i/lub 1.2 w Internet Explorer na systemach Windows 7 lub Windows Server 2008 R2;
  • blokowanie kontrolek ActiveX i aktywnych skryptów w strefach Internet i Lokolanej (można to osiągnąć ustawiając poziom bezpieczeństwa na "Wysoki" dla tych stref).

CERT.GOV.PL zaleca użytkownikom i administratorom zapoznanie się z poradnikiem bezpieczeństwa (2588513) i zastosowanie zalecanych przez Microsoft obejść w celu zminimalizowania ryzyka.


Przydatne linki:
http://www.kb.cert.org/vuls/id/864643
http://technet.microsoft.com/en-us/security/advisory/2588513
http://support.microsoft.com/kb/2588513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389
 

Ocena: 3.5/5 (6)
A
A+
A++
Drukuj
PDF