Drown ataque afeta o SSL
Uma nova vulnerabilidade chamada DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) foi divulgada nos últimos dias, ela afeta o protocolo Secure Sockets Layer (SSLv2).
Este ataque explora uma falha no protocolo SSLv2, que já possui diversas outras vulnerabilidades, e pode ser usado para explorar o protocolo (TLS), ou seja, “descriptografar” sessões no protocolo TLS.
Embora grande parte dos servidores não permitam conexões utilizando o protocolo SSLv2, por padrão, alguns ainda o utilizam por questões de compatibilidade e/ou otimização.
Como testar seu servidor?
Os pesquisadores criaram um site específico que fornece todas as informações e detalhes para que você consiga testar seu servidor: https://drownattack.com/. Também é possível analisar - o website ou e-commerce - para verificar se possui a vulnerabilidade.
Como proteger meu servidor?
Para se proteger é preciso garantir que as chaves privadas não são utilizadas em lugares que se permite conexões com o protocolo SSLv2. Isso inclui servidores: web, SMTP, IMAP e POP, ou qualquer outro serviço que suporte o SSLv2.
A melhor forma de se proteger é desabilitar o SSLv2, pois como já dissemos, trata-se de um protocolo com diversas vulnerabilidades. Se você ainda o utiliza, siga um dos links abaixo.
Microsoft IIS: As versões do IIS acima da 7.0 já devem ter SSLv2 desativado por padrão, mas se você habilitou o SSLv2 manualmente, será necessário desabilitá-lo.
0 comentários: