SSL/TLS安全:如何解決Schannel中WinShock漏洞?
Schannel是最新被發(fā)現(xiàn)存在SSL/TLS安全問題的加密庫,本文中專家Michael Cobb介紹了這個WinShock漏洞以及企業(yè)應(yīng)該如何降低風(fēng)險。
在過去一年中,SSL/TLS協(xié)議出于各種錯誤的原因占據(jù)著新聞頭條。
蘋果的SecureTransport、OpenSSL、GnuTLS和Mozilla的NSS等加密軟件庫中出現(xiàn)了各種漏洞和部署問題,這讓供應(yīng)商和管理員都忙于解決這些潛在嚴重漏洞,以緩解對網(wǎng)絡(luò)、用戶及其數(shù)據(jù)的威脅。
其中微軟的Secure Channel或者說Schannel是最新被發(fā)現(xiàn)容易受到攻擊的加密庫。
在本文中,筆者將詳細介紹Schannel中的WinShock漏洞、為什么它比其他SSL/TLS漏洞更嚴重以及緩解這種威脅的最佳方法。
Schannel和WinShock漏洞
Schannel是微軟的SSL/TLS協(xié)議部署,類似于OpenSSL在Linux系統(tǒng)中的使用。這個組件存在于所有微軟Windows平臺,并且大多數(shù)需要SSL/TLS加密和身份驗證服務(wù)(例如IIS、Active Directory、OWA、Exchange、IE和Windows Update)的Windows軟件都在使用它。
在11月,微軟發(fā)布了安全公告MS14-066來解決Schannel中發(fā)現(xiàn)的漏洞,該漏洞被稱為WinShock(現(xiàn)在似乎每個嚴重漏洞都需要一個引人注目和令人震驚的名字)。
通過發(fā)送特制的網(wǎng)絡(luò)流量,遠程攻擊者可以利用WinShock漏洞,在服務(wù)器或客戶端執(zhí)行任意代碼,從而允許攻擊者通過惡意軟件感染目標。攻擊者還可以在不需要身份驗證的情況下通過未請求的網(wǎng)絡(luò)流量來發(fā)動攻擊,這正是該漏洞非常嚴重的原因。
修復(fù)WinShock
WinShock應(yīng)該盡快被修復(fù)。根據(jù)微軟表示,目前還沒有已知的緩解或解決辦法;它甚至可以繞過增強緩解體驗工具包(EMET)。
在企業(yè)中,最易受攻擊的Windows設(shè)備是連接到互聯(lián)網(wǎng)(例如Web和郵件服務(wù)器)的設(shè)備,因此這些設(shè)備最應(yīng)該受到保護。其次,企業(yè)應(yīng)該專注于修復(fù)內(nèi)部服務(wù)器,然后是移動設(shè)備,最后是內(nèi)部客戶端。
管理員應(yīng)該假設(shè)所有運行Windows的設(shè)備都易受到攻擊,并使用資產(chǎn)注冊表來確保沒有遺漏設(shè)備,因為攻擊者可能監(jiān)聽被遺忘的VPN、即時通訊和其他軟件來獲取入站SSL連接。企業(yè)應(yīng)確保更新網(wǎng)絡(luò)防御來檢測和阻止對該漏洞的利用;思科已經(jīng)為MS14-066發(fā)布了很多Snort規(guī)則。
WinShock的嚴重程度
對于WinShock漏洞的真正性質(zhì)存在一些混淆,例如它是如何被發(fā)現(xiàn)以及被誰發(fā)現(xiàn),CVE-2014-6321是否實際上涵蓋了Schannel中的多個漏洞等。
這個更新通過糾正Schannel審查特制數(shù)據(jù)包的方式解決該漏洞,同時,微軟還對現(xiàn)有TLS加密套件進行了更改。雖然提供更強大的加密功能,但這些加密功能給運行Server 2008 R2和Windows Server 2012的一些系統(tǒng)造成了問題,因為TLS 1.2連接被撤銷,服務(wù)變得間歇性反應(yīng)遲鈍。
隨后微軟重新發(fā)布了MS14-066更新,新的TLS加密在默認情況下未啟用。這次更新(編號3018238)將通過MS14-066的安全更新自動安裝。如果系統(tǒng)已經(jīng)安裝了MS14-066更新,該更新將會重新提供以確保安裝新的加密更新。安裝這些新的更新將需要重新啟動。
影響所有Windows服務(wù)器版本的任何遠程代碼執(zhí)行漏洞都可能比Heartbleed更糟糕,這是因為受影響系統(tǒng)的數(shù)量非常多。然而,與Heartbleed相比,WinShock似乎更難以被利用,更容易被修復(fù),所以它應(yīng)該更容易被控制。
盡管微軟對WinShock的漏洞利用可能性標記為“1”—這表明攻擊者可能很快會開發(fā)出漏洞利用,但微軟估計攻擊者很難創(chuàng)建出可靠的漏洞利用。(微軟的補丁并不包括源代碼,但攻擊者將會進行逆向工程來了解漏洞以開發(fā)可行的攻擊)。
當Heartbleed和POODLE漏洞為公眾所知時,它們的利用代碼已經(jīng)存在,并且漏洞利用的要求相對不高。這就是說,它們都只是導(dǎo)致信息泄露,而不是遠程代碼執(zhí)行。
現(xiàn)在的大問題是,從目前的情形來看,WinShock是Windows XP和Windows 2000的永遠漏洞,因為這些系統(tǒng)不再受微軟支持。這是企業(yè)從這些過時的操作系統(tǒng)升級的另一個強大的動力。如果微軟不放寬政策,并為這些版本發(fā)布安全補丁,管理員將需要隔離和移除運行這些操作系統(tǒng)的機器,它們都可能被利用且不可修復(fù)。
WinShock和Heartbleed等漏洞顯示了保持最新資產(chǎn)登記的重要性,這樣的話,當發(fā)現(xiàn)關(guān)鍵漏洞時,管理員將知道哪些設(shè)備或軟件可能存在風(fēng)險。這讓修復(fù)優(yōu)先排序更快和更容易,并且可以確保不會有設(shè)備或系統(tǒng)被遺漏。
