FREAK ATTACK: Nova Falha Crítica no SSL/TLS

12:07 Anônimo 0 Comentarios

Não, você não leu errado, uma nova falha nos protocolos SSL/TLS foi divulgada nesta última terça-feira, 3 de março de 2015.

Pesquisadores do Inria (Institute for Research in Computer Science and Automation) e da Microsoft descobriram uma nova vulnerabilidade que afeta os protocolos de criptografia SSL e seu sucessor, o TLS.

Apelidada de "FREAK" (CVE-2015-0204) ou também chamada de "Factoring Attack on RSA-EXPORT Keys", a vulnerabilidade permite que invasores consigam interceptar conexões HTTPS entre clientes e servidores vulneráveis e forçá-los a utilizar uma criptografia fraca, conhecida como "export-grade key" ou "512-bit RSA keys", que pode, então, ser decifrada.

A conexão é vulnerável se o servidor aceitar a suite de cifras "EXPORT" ou estiver utilizando uma das versões vulneráveis do OpenSSL.

As versões do OpenSSL anteriores a 1.01k, e o sistema de criptografia da Apple e alguns navegadores estão vulneráveis. Muitas CDN's (Content Delivery Network) também parecem estar vulneráveis e já relataram que estão corrigindo o problema, como a Akamai, em seu blog.

Meu Site Está Vulnerável?

Utilizando o comando do OpenSSL, descrito a seguir, você vai saber se está vulnerável.

openssl s_client -connect www.siteblindado.com.br:443 -cipher EXPORT

Substituindo "www.siteblindado.com.br" pelo seu domínio, você terá uma resposta.

Caso a mensagem seja "alert handshake failure", seu servidor está seguro!

Meu Navegador está Vulnerável?

Acessando este link,você poderá verificar se seu navegador pode ser afetado. Se aparecer uma mensagem em vermelho, seu navegador está vulnerável.

Como Resolver?

- Caso utilize o OpenSSL, faça a atualização para a versão mais recente. Confira as recomendações no link do OpenSSL.

- A maioria das CDN's já resolveram esse problema, entre elas, a Akamai, que relatou em seu blog.

- Para os sistemas da Apple, aguarde o lançamento do patch de correção nos próximos dias.

- Caso seu navegador esteja vulnerável, atualize para uma versão mais recente.

Atualização [06/03]

Quando a vulnerabilidade foi descoberta no início da semana, acreditava-se que os sistemas Windows estavam imunes a vulnerabilidade, porém a Microsoft confirmou que a vulnerabilidade existe e afeta o componente Secure Channel (Schannel) que é utilizado por todas as versões do Windows.

A Microsoft divulgou um security advisory que fala do problema e dá instruções de como corrigir enquanto não é disponibilizado um patch definitivo, confira no endereço abaixo.

Microsoft Security Advisory 3046015:

https://technet.microsoft.com/en-us/library/security/3046015?f=255&MSPPError=-2147217396

Atualização [11/03]

A Microsoft disponibilizou as correções para a vulnerabilidade do FREAK. Todas as informações podem ser obtidas no boletim de segurança MS15-031 através do endereço abaixo.
https://technet.microsoft.com/library/security/MS15-031

#Blindadica

Utilize sempre as melhores práticas para instalar seu certificado digital SSL, para que novas falhas de segurança não prejudiquem seu funcionamento.

Caso tenha qualquer tipo de dúvida, entre em contato com a Site Blindado, ficaremos felizes em ajudá-lo!

Referências:

http://blog.cryptographyengineering.com/

https://freakattack.com/

https://www.smacktls.com/#freak

https://blogs.akamai.com/2015/03/cve-2015-0204-getting-out-of-the-export-business.html
https://technet.microsoft.com/en-us/library/security/3046015?f=255&MSPPError=-2147217396