Через два дня после того, как стало известно об опасной уязвимости FREAK в клиентских и серверных реализациях TLS/SSL, компания Microsoft тоже признала её наличие в разных версиях Windows. Изначально предполагалось, что среди серверов HTTPS уязвимы примерно треть сайтов, а среди клиентов — только Android и Safari (iOS и OS X). Но реальность оказалось хуже.

Напомним, что атака FREAK позволяет постороннему злоумышленнику с помощью MiTM перехватывать защищённые соединения и форсировать использование слабой криптографии из «экспортного» набора шифров RSA_EXPORT. Экспортные модули RSA максимального размера 512 бит подбираются максимум за 7-12 часов в облаке Amazon с расходами в районе $50-100.

Уязвимость возникла как результат ограничений на экспорт стойкой криптографии, действующих в США в прошлом веке. В давние времена они были учтены Netscape Corporation при разработке протокола SSL.

Список уязвимых операционных систем

  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 на платформе x64 Service Pack 2
  • Windows Server 2003 с SP2 для систем на Itanium
  • Windows Vista Service Pack 2
  • Windows Vista на платформе x64 Service Pack 2
  • Windows Server 2008 для 32-битных систем Service Pack 2
  • Windows Server 2008 на платформе x64 Service Pack 2
  • Windows Server 2008 для систем на базе Itanium Service Pack 2
  • Windows 7 для 32-битных систем Service Pack 1
  • Windows 7 на платформе x64 Service Pack 1
  • Windows Server 2008 R2 на платформе x64 Service Pack 1
  • Windows Server 2008 R2 для систем на базе Itanium Service Pack 1
  • Windows 8 для 32-битных систем
  • Windows 8 на платформе x64
  • Windows 8.1 для 32-битных систем
  • Windows 8.1 на платформе x64
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT
  • Windows RT 8.1

Для Windows Server 2003 не существует способа устранения вручную, потому что архитектура управления шифрами Windows Server 2003 не предусматривает включение или выключение отдельных шифров. В серверных версиях Windows, кроме Windows Server 2003, экспортные шифры тоже отключены по умолчанию.

Для остальных ОС в качестве временного решения предлагают вручную исключить группу экспортных шифров из списка доступных шифров в Group Policy Object Editor (gpedit.msc). Вероятно, скоро такую модификацию пришлют через процедуру автоматического апдейта.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    9 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии