Yli 20% verkkopalveluista haavoittuvaisia DROWN ATTACK -hyökkäykselle

2.3.2016

Useissa SSL/TLS -suojatuissa verkkopalveluissa voi olla edelleen päällä vanhempi SSLv2 -protokolla. 1.3.2016 julkaistussa tiedossa todetaan, että tätä protokollaa hyväksikäyttäen on mahdollisuus tehdä ns. Man-in-the-middle -hyökkäys, ja saada käyttöön istunnon aikainen salainen avain. Jos näin tapahtuu, sivujen käyttäjä luulee kommunikaation tapahtuvan salatusti, mutta hyökkääjä saa tietoonsa koko liikenteen.

Haavoittuvuuden todennut DROWN -ryhmä toteaa saaneensa minuutissa avattua salatun yhteyden tällä tavoin. Katso lisää: https://drownattack.com/

Myös Viestintävirasto on taas ajanhermolla. Katso artikkeli ”Vakava haavoittuvuus SSLv2-salausprotokollassa”

Tietyissä tilanteissa myös sellaiset palvelimet ovat alttiina hyökkäykselle, jossa SSLv2 ei ole päällä. Tämä on mahdollista tapauksessa, jossa salainen avain ja SSL-sertifikaatti on kopioitu palvelimelta A palvelimelle B (esimerkiksi Wildcard-sertifikaattia käytettäessä). Vaikka palvelimella A olisi SSLv2 pois päältä niin hyökkääjä saattaisi saada tarvittavat tiedot hyödyntäen palvelimella B olevaa aktiivista SSLv2 -protokollaa ja näin pääsisi kiinni myös palvelimen A liikenteeseen.

Mistä sitten tietää, onko tietty palvelu alttiina tälle hyökkäykselle? Voit tarkastaa tilanteen sivuilla https://drownattack.com/ olevan linkin kautta. Voit myös ajaa laajemman analyysin haluamaasi palveluun Entrustin ilmaisen SSL Server Test -palvelun avulla: https://entrust.ssllabs.com/

Alla on esimerkki SSL Servet Test -tuloksista palvelusta, jossa SSLv2 ei ole aktiivinen.

Vinkit Windows 2008 SRV (esim) IIS 6 / 7 SSL 2.0 ja SSL 3.0 poiskytkemiseksi voit ladata kotisivuiltamme:
https://www.ssl-apua.fi/Ladattavat/Windows2008-SSL2-3_poiskytkenta.pdf

… tai voit käydä Microsoftin sivuilla:
https://support.microsoft.com/en-us/kb/187498

Jos tarvitset lisätietoa, ota yhteyttä tiimiimme: info@ssl-apua.fi

Server Test SSLv2

Lue lisää