FREAK - брешь в семействах ОС Windows. Защита от Microsoft

суббота, 7 марта 2015 г.


«FREAK. Это дыра в системе безопасности, которая оказалась более распространённой, чем это считалось ранее. У меня есть всё, что необходимо знать пользователям и системным администраторам для того, чтобы оставаться в безопасности», - Стивен Дж. Вон-Николс (Steven J. Vaughan-Nichols), корреспондент западноевропейского цифрового издания ZDNet.

Радиус опасности FREAK

«Под ударом FREAK[1] оказалось не только программное обеспечение, посредством которого осуществляется реализация SSL Apple или Open SSL, а также Secure Sockets Layer (SSL) и Transport Layer Security (TLS) в семействах операционных систем Windows. Также известно, что угроза уязвимости FREAK присутствует и в стеках Micrsoft Secure Channel (SChannel).

Угроза FREAK существует вот уже на протяжении почти двух десятилетий подряд.

Эндрю Аванесян (Andrew Avanessian), исполнительный вице-президент консалтинговой и технологической компании Avecto, осуществляющей решение вопросов в сфере IT-безопасности деловых дата-центров: «FREAK является свидетельством того, насколько далеко назад шагнула безопасность IT-индустрии при всей её современности. Сейчас у нас есть ясное представление того, что с появлением новых технологий криптография затвердевает. А всё потому, что многие просто добавляют новые средства решений, не снимая устаревшие и уязвимые технологии. Это и является эффективным катализатором, который в корне подрывает ту модель безопасности, которую Вы стараетесь и пытаетесь построить.»» - Стивен Дж. Вон-Николс.

Решение вопроса безопасности ОС Windows

«Если Вы играете с безопасностью у себя дома, то у меня имеется список некоторого программного обеспечения и операционных систем, которые могут оказаться под угрозой атаки FREAK. Любое программное обеспечение, которое функционирует на основе технологий SSL Microsoft, TLS Microsoft, например, обозреватель Internet Explorer под управлением операционных систем Windows Vista, Windows 7, Windows 8, Windows 8.1 может оказаться под атакой. Как известно, срок поддержки ОС Windows XP корпорацией Microsoft завершился, поэтому можно уверенно предполагать, что семейство ОС Windows XP уязвимо.

Серверные операционные системы Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2, Windows RT и Windows RT 8.1, если они используются в качестве настольных операционных систем (в домашних условиях), то они также находятся в зоне риска. Что касается того, что, если указанные серверные операционные системы используются по назначению (в крупных компаниях и организациях), то их конфигурация безопасности изначально оказывается задействованной по умолчанию, таким образом, что они просто не поддерживают устаревшие шифры SSL Microsoft.

С морально устаревшей серверной операционной системой Windows Server 2003 всё обстоит немного иначе. ОС Windows Server 2003 поддерживает устаревшие шифры SSL Microsoft и нет никакого способа, чтобы их отключить.

Кроме того, согласно сообщению, поступившему из miTLS[2], было обнаружено, что угроза безопасности распространяется на следующие виды программного обеспечения и технологий, работа которого основывается на SSL и клиентских библиотеках TLS:

- OpenSSL (CVE-2015-0204): версия до 1.0.1k.;

- BoringSSL: версия до 10 ноября 2014;

- LibReSSL: версия до 2.1.2;

- SecureTransport: уязвимо. Тестируется обновление (следите за обновлениями);

- SChannel: уязвимо. Тестируется обновление (следите за обновлениями).

За ними следуют обозреватели, которые также уязвимы в силу того, что используют библиотеки TLS:

- Google Chrome: до версии 41. Броузер уязвим на всех поддерживающих его работу операционных системах. Следует переключиться на обозреватель Firefox или обновить обозреватель до версии 41;

- Internet Explorer: ожидается поступление обновлений от корпорации Microsoft (Патч Вторника). Также в решении вопроса безопасности может оказать помощь с настройкой «Редактора локальной групповой политики»;

- Safari: уязвим. Ожидается поступление обновления. Следует переключиться на обозреватель Firefox, либо Google Chrome версии 41;

- Обозреватель ОС Android: уязвим. Следует переключиться на использование броузера Google Chrome версии 41;

- Обозреватель Blackberry: уязвим. Ожидается поступление обновления.

- Opera на базе управления ОС Macintosh и ОС Android: уязвим. Ожидается поступление обновлений. Следует переключиться на броузер Google Chrome версии 41.

Чтобы убедиться, что Ваша система не подвержена угрозам атаки рекомендуется осуществить её проверку в FREAK Attack», - Стивен Дж. Вон-Николс.

Настройка Редактора локальной групповой политики ОС Windows

«Если Вы используете ОС Windows Server 2003 или Windows XP, то Вы в беде. Операционная система Windows XP не поддерживается корпорацией Microsoft и срок жизнеобеспечения ОС Windows Server 2003 заканчивается в июле 2015 года. Корпоративный гигант, конечно, может выпустить обновление для ОС Windows Server 2003, но я бы не стал рассчитывать на это. Время ОС Windows Server 2003 завершилось и пришёл час для того, чтобы совершить переход на более совершенную версию серверной операционной системы Windows, так что пора бы покончить с ОС Windows Server 2003!

Если Вы работаете на персональной машине под управлением ОС Windows Vista или более поздней версии операционной системы, то Вы можете осуществить настройку «Редактора локальной групповой политики», следуя шагам инструкции, представленной Поддержкой Microsoft Technet, чтобы защитить себя. Тем не менее, не все версии ОС Windows Vista, ОС Windows 7, ОС Windows 8 и ОС Windows 8.1 включают программу критической поддержки GPEdit.MSC: ОС Windows Vista Home Premium, ОС Windows 7 Home Premium, ОС Windows 7 Home Basic, ОС Windows 7 Starter, ОС Windows 8 Home Premium, Windows 8 Starter и ОС Windows 8.1 Home Premium, ОС Windows 8.1 Starter не располагают поддержкой GPEdit.MSC.

Разумеется, существуют способы добавления GPEdit.MSC в указанные операционные системы, но я не в праве рекомендовать Вам какой-либо из них. Вместо этого Вы должны воспользоваться альтернативным вариантом, просто используйте обозреватель Firefox или Google Chrome, до того момента пока не поступит обновление. Если же Ваша операционная система выше уровнем, то в этом случае осуществите настройку «Редактора локальной групповой политики» так, как это предлагается Поддержкой Microsoft Technet», - Стивен Дж. Вон-Николс.

Настройка Редактора локальной групповой политики версия Поддержки Microsoft Technet

Настройка Редактора локальной групповой политики

Осуществление настройки «Редактора локальной групповой политики» в ОС Windows Vista и более поздних версиях ОС Windows:


- Перейдите на вэб-ресурс Поддержки Microsoft Technet, на вэб-страницу помощи по осуществлению настройки «Редактора локальной групповой политики», затем обратитесь к контейнеру с шифрами, выделите их и скопируйте, руководствуясь соответствующими действиями оптической мыши и командой «Контекстного меню» обозревателя, используя ПКМ (правая клавиша мыши);


- Запустите системный текстовый редактор «Блокнот» и на его страницу вставьте скопированные шифры. Между строками шифров, разделённых запятыми, уберите пробелы,


чтобы создать абзац с шифрами, состоящий из единой строки. После совершённых изменений окно системного текстового редактора «Блокнот» сверните.


- Переключитесь на «Рабочий стол» и, используя сочетание «горячих клавиш» Win+R, вызовите командное окно «Выполнить». В форму окна введите gpedit.msc и нажмите клавишу Enter – Ввод.


Так будет запущен «Редактор локальной групповой политики». В его окне обратитесь к левому контейнеру, в котором откройте категорию «Конфигурация компьютера». Откройте папку «Административные шаблоны», в этой папке откройте папку «Сеть», за ней следует открыть папку «Параметры настройки SSL».


- Обратитесь к правому контейнеру, в котором, в столбце «Состояние», кликните дважды ЛКМ (левая клавиша мыши) по объекту «Порядок комплектов шифров SSL»,


чтобы открыть окно редактирования «Порядок комплектов шифров SSL»В окне «Порядок комплектов шифров SSL» активируйте положение «Включить», установив на пункте кнопку ЛКМ.


- Обратитесь к контейнеру «Параметры», кликните ЛКМ по его форме «Комплекты шифров SSL». Выделите устаревшие комплекты шифров SSL, используя сочетание «горячих клавиш» CTRL+A и, используя клавишу Delete, удалите их.

- Обратитесь к системному текстовому редактору «Блокнот». Разверните окно системного текстового редактора «Блокнот», используя сочетание «горячих клавиш» CTRL+A, выделите абзац с шифрами, а, используя сочетание «горячих клавиш» CTRL+C, скопируйте абзац с шифрами, либо используйте для этих целей действия «Контекстного меню» ( «Выделить», «Копировать») системного текстового редактора «Блокнот».

- Переключитесь к окну «Порядок комплектов шифров SSL» и к его контейнеру «Параметры». Кликните ЛКМ по форме «Комплекты шифров SSL», чтобы активировать её. Используя сочетание «горячих клавиш» CTRL+V, вставьте в форму абзац с шифрами. Чтобы действия вступили в силу, используйте кнопки «Применить» и «Ок», расположенных в основании окна «Порядок комплектов шифров SSL».

- Совершите перезагрузку персональной машины, если соединение с Сетью Интернет устанавливается в автоматическом режиме, если установка соединения с Сетью Интернет производится вручную, посредством авторизации через логин и пароль доступа, то в этом случае осуществите разъединение, а затем повторное соединение с Сетью Интернет.

Защита от FREAK атак в Мировой паутине

«Пользователям операционных систем Linux и BSD, а также использующим их серверные версии необходимо провести процедуру обновления на последние их версии OpenSSL и LibReSSL.

Администраторам вэб-ресурсов Mozilla рекомендует пользоваться услугами вэб-сервера Ngnix, поскольку он обеспечивает лучшую поддержку защиты TLS. Также в рекомендациях Mozilla находится предложение по использованию Mozilla SSL Configuration Generator, посредством него можно устроить защиту Apache и HAProxy. Mozilla SSL Configuration Generator программное обеспечение онлайн характера, оно осуществляет генерацию защитного кода, который необходим для производства конфигурации вэб-сервера должным образом.

Если у Вас есть вэб-сервер и он не настроен соответствующим образом (относительно защиты), независимо от того, на базе какой операционной системы он базируется, рекомендуется проверить его конфигурацию в Qualys SSL Labs. Это тестовый инструмент, осуществляющий проверку SSL на ошибки и недостатки.

Если Ваш вэб-сервер по-прежнему поддерживает слабые шифры, значит у Вас много работы, но помощь может оказать TLS_FALLBACK_SCSV, в задачи которого также включена защита от атак FREAK.

Что же касается конечных пользователей, для которых нет возможности осуществить настройку «Редактора локальной групповой политики» или изменить обозреватель по тем или иным причинам, Вам потребуется подождать грядущих обновлений», - Стивен Дж. Вон-Николс.

Патч Вторника


Во вторник 10 марта и в среду 11 марта (часовой пояс) вышел Патч Вторника, который содержал исправления и обновления защиты от FREAK, а также исправления и обновления для офисного программного обеспечения Microsoft Office.

Общее число исправлений и обновлений 21. Патч Вторника обязателен для установки!

По материалам: ZDNet; MicrosoftTechnet.

Автор статьи (русскоязычная версия): Рон Милдарт.



[1]FREAK – брешь в системе безопасности компьютерного программного обеспечения и в системе безопасности операционных систем, образованная за счёт уязвимости используемых ими технологий шифрования, основная угроза которой определяется удалённым перехватом и получением конфиденциальных данных.

FREAK является аббревиатурой и она представлена следующим словосочетанием Factoring attack on RSA-EXPORT Keys, дословный перевод которого означает Факторные операции по осуществлению атаки на криптографический алгоритм шифрования идентификационных данных с целью хищения конфиденциальных данных или ключей.

[2]miTLS - специализированный центр IT-безопасности, основывающий свою деятельность на вопросах безопасности IT-технологий.
 

Программное Обеспечение

Поиск по вэб-сайту

Архив