LogJam - Nova Falha que Afeta o SSL

13:50 Roberto Muszkat 0 Comentarios



Após a divulgação de falhas como Heartbleed, POODLE e FREAK, que permitiam ataques sobre os protocolos de criptografia do SSL e TLS, um novo ataque que afeta diversos protocolos, entre eles o HTTPS, SSH, IPsec, SMTPS, e protocolos que dependem do TLS, foi divulgada na última quarta-feira (20/05/2015).

Este novo ataque afeta diversos softwares, entre eles, Servidores Web (sites, lojas virtuais, extranets, etc) que possuem Certificado Digital SSL (HTTPS), Navegadores (Browsers) e programas que utilizam os protocolos citados anteriormente.

O time de pesquisadores de segurança que identificaram esse novo ataque, apelidado de "LogJam", descobriram que o mesmo permite que invasores, potencialmente, consigam ler e modificar dados enviados através de conexões criptografadas (HTTPS) em servidores vulneráveis e navegadores.

A falha afeta qualquer servidor web com Certificado Digital SSL (HTTPS) – sites, lojas virtuais, servidores de email, extranets, etc -  que suporte cifras “DHE_EXPORT” e todos os navegadores.

No momento da instalação do seu Certificado Digital SSL no seu servidor web, existem certos “mecanismos” técnicos (protocolos e algoritmos) que precisam ser habilitados para o funcionamento do seu certificado e muitas vezes são habilitados por padrão. Entretanto, alguns desses mecanismos estão tornando-se vulneráveis a ataques e precisam ser desabilitados para que o bom funcionamento do seu certificado não seja afetado. Esta falha é mundial e novas falhas vem sendo identificadas com o auxílio de pesquisadores de segurança da informação.

Devido à crescente quantidade de falhas identificadas no último ano sobre o SSL, apenas instalar seu Certificado Digital SSL não garante proteção completa e recomendamos que práticas de instalação corretas sejam utilizadas no momento da instalação do seu certificado.

Voltando ao ataque, de forma mais técnica, a falha permite que em um servidor ou navegador vulnerável, um ataque "man-in-the-middle" (MitM) seja realizado para diminuir (downgrade) a criptografia utilizada entre o usuário e o servidor para chaves de criptografia de 512 bits, que podem ser facilmente descriptografadas.

Esse ataque é possível devido uma falha  no algoritmo chamado “Diffie-Hellman Key Exchange”. No SSL, ele serve para que protocolos de segurança como HTTPS, SSH, SMTPS e outros criem uma conexão segura e uma chave compartilhada, acelerando o acesso e permitindo um uso mais dinâmico da rede.

O pesquisador Matthew Green, em conjunto com especialistas de segurança da Universidade de Michigan e do Inria (Institute for Research in Computer Science and Automation) - descobriu o ataque já alguns meses e publicou um relatório técnico que detalha a falha e o ataque neste link - https://weakdh.org/imperfect-forward-secrecy.pdf

Essa vulnerabilidade é muito parecida com o FREAK ATTACK, que foi divulgado recentemente. Entretanto, o FREAK explora uma falha existente na implementação, já no LogJam é devido a uma vulnerabilidade na estrutura do protocolo TLS fazendo com que todos os navegadores e alguns servidores e servidores de e-mail que utilizam TLS para estabelecer conexões seguras com os usuários estejam vulneráveis ao ataque.

Meu Site Está Vulnerável ? Como Realizar o Teste ?
Foi disponibilizado pelos pesquisadores que descobriram esse novo ataque um link para testar seu site, disponível a seguir.

Caso a mensagem seja “Warning!” em amarelo, você está vulnerável ao ataque.
Caso contrário, aparecerá uma mensagem em azul e você está seguro! 

Caso seja nosso cliente e tenha dúvidas, entre em contato com nosso suporte com a abertura de um novo chamado.

Recomendamos que o teste seja realizado em todas as aplicações  com SSL (blogs,sites, lojas virtuais, intranets, etc) que você ou sua empresa possua.

Caso sua plataforma ou hospedagem seja a responsável pela área técnica do seu site, envie este email para eles ou solicite para que entre em contato com nosso suporte.

Nossa blindagem identifica este tipo de brecha na sua aplicação e outros serviços que podem estar vulneráveis, como o SSH, e disponibiliza os testes realizados e forma de correção, além do teste de mais de 60 mil vulnerabilidades, através do nosso Scan de IP.

Estamos alertando todos os clientes, vulneráveis ou não vulneráveis, devido a gravidade da falha e para conhecimento da mesma.

Meu Navegador Está Vulnerável ?
O mesmo site verifica a falha para seu navegador


COMO CORRIGIR
Corrigindo Meu Servidor
Você deve desabilitar o suporte a “Export Cipher Suites” e gerar um único grupo DHE de 2014 bits. No link disponibilizado a seguir, existe um Guia com instruções “passo a passo”  para corrigir esta falha em diversos servidores.

Guia de Correção - https://weakdh.org/sysadmin.html

Caso seja nosso cliente e tenha dúvidas, entre em contato com nosso suporte com a abertura de um novo chamado.

Corrigindo Meu SSH
Você deve atualizar ambas as instalações de servidor e cliente para a versão mais recente do OpenSSH, que utiliza Elliptic Curve Diffie-Hellman-Key Exchange (ECDH).

Corrigindo Meu Navegador
Certifique-se de que você tem a versão mais recente do seu navegador instalado, e verifique se existem novas atualizações. Google Chrome (incluindo o navegador Android), Mozilla Firefox, Microsoft Internet Explorer, e Apple Safari estão realizando correções e lançando novas atualizações para corrigir este ataque.

Elaboramos um FAQ com as principais perguntas e respostas. Caso você seja nosso cliente, qualquer nova dúvida entre em contato com nosso suporte!

1. Preciso Reemitir meu Certificado Digital SSL?
Não existe a necessidade de reemitir seu Certificado! Apenas realizar as correções no seu servidor disponíveis no Guia de Correção - https://weakdh.org/sysadmin.html

2. Como Posso Verificar Falhas Antigas de SSL e Corrigí-las?
Caso você possua nosso plano de blindagem, isso é possível através do nosso Scan de IP que verifica vulnerabilidades desse tipo. Caso contrário, você pode realizar os testes manuais que estão disponíveis nos posts -  POODLE e FREAK
Sendo nosso cliente, continuaremos realizando rotinas para verificar quais clientes continuam vulneráveis a ataques no seu SSL e notificaremos em breve.

3. Se Não Corrigir Essa Falha, o Que Pode Acontecer?
Caso seu servidor esteja vulnerável a esta nova falha, potencialmente você estará vulnerável  a ataques que permitem o roubo de informações protegidas pelo seu SSL.




0 comentários: