Через два дня после того, как стало известно об опасной уязвимости FREAK в клиентских и серверных реализациях TLS/SSL, компания Microsoft тоже признала её наличие в разных версиях Windows. Изначально предполагалось, что среди серверов HTTPS уязвимы примерно треть сайтов, а среди клиентов — только Android и Safari (iOS и OS X). Но реальность оказалось хуже.
Напомним, что атака FREAK позволяет постороннему злоумышленнику с помощью MiTM перехватывать защищённые соединения и форсировать использование слабой криптографии из «экспортного» набора шифров RSA_EXPORT. Экспортные модули RSA максимального размера 512 бит подбираются максимум за 7-12 часов в облаке Amazon с расходами в районе $50-100.
Уязвимость возникла как результат ограничений на экспорт стойкой криптографии, действующих в США в прошлом веке. В давние времена они были учтены Netscape Corporation при разработке протокола SSL.
Список уязвимых операционных систем
- Windows Server 2003 Service Pack 2
- Windows Server 2003 на платформе x64 Service Pack 2
- Windows Server 2003 с SP2 для систем на Itanium
- Windows Vista Service Pack 2
- Windows Vista на платформе x64 Service Pack 2
- Windows Server 2008 для 32-битных систем Service Pack 2
- Windows Server 2008 на платформе x64 Service Pack 2
- Windows Server 2008 для систем на базе Itanium Service Pack 2
- Windows 7 для 32-битных систем Service Pack 1
- Windows 7 на платформе x64 Service Pack 1
- Windows Server 2008 R2 на платформе x64 Service Pack 1
- Windows Server 2008 R2 для систем на базе Itanium Service Pack 1
- Windows 8 для 32-битных систем
- Windows 8 на платформе x64
- Windows 8.1 для 32-битных систем
- Windows 8.1 на платформе x64
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
Для Windows Server 2003 не существует способа устранения вручную, потому что архитектура управления шифрами Windows Server 2003 не предусматривает включение или выключение отдельных шифров. В серверных версиях Windows, кроме Windows Server 2003, экспортные шифры тоже отключены по умолчанию.
Для остальных ОС в качестве временного решения предлагают вручную исключить группу экспортных шифров из списка доступных шифров в Group Policy Object Editor (gpedit.msc). Вероятно, скоро такую модификацию пришлют через процедуру автоматического апдейта.
