|
新的TLS解密攻击影响在三个服务器由于遗留SSLv2的站点时的支持.远程控制软件
研究人员设计新技术解密TLS连接用户和HTTPS服务器之间仍然支持SSLv2的站点时
安全研究人员发现了一个新的弱点,可能允许攻击者来监视加密用户和三分之一的HTTPS服务器之间的通信。
出口的问题,因为许多HTTPS服务器还支持旧的和不安全的SSL(安全套接字层)协议版本2。SSLv2的站点时被SSLv3取代了1996年,但仅在2011年正式弃用。SSLv3取代,更现代的TLS(传输层安全)版本1.0、1.1和1.2。
SSLv2的站点时不应该用于加密通信。不过,安全专业没看到支持在服务器配置构成安全威胁直到现在,因为现代浏览器和其他TLS-capable客户不会使用它。
但安全的一个研究小组已经表明,前提是不正确的。
在新发布的研究报告,他们发现,如果一个HTTPS服务器支持SSLv2的站点时,攻击者可以利用它来解密拦截来自其客户,即使这些连接的连接使用最新和最安全的TLS协议版本。
他们的攻击,被淹死(RSA过时和削弱了加密解密),有几个先决条件,但很实用。首先,针对HTTPS服务器需要支持SSLv2的站点时本身或者与另一个服务器共享其私钥,所以——例如,电子邮件服务器。
很常见的组织使用相同的私有密钥或TLS证书实现Web服务器和邮件服务器。攻击者还需要能够观察几百TLS受害者和脆弱的服务器之间的连接。他们可以通过监测连接在很长一段时间或使用恶意JavaScript反复强迫用户的浏览器在后台建立连接的目标网站。
此外,观察到的连接需要使用RSA密钥交换算法在握手过程中,但这对于攻击者不应该成为一个问题,因为RSA仍然是最受欢迎的密钥交换方法TLS的实现。
一旦攻击者捕获的连接,他需要SSLv2的站点时协议连接到服务器,发送精雕细琢握手消息包含修改的RSA密文复制从客户机的TLS连接。这些探测器将会失败,但服务器响应的方式将密钥的泄漏信息用于受害者的TLS连接。
在最坏的情况下,攻击者需要执行大约40000探头连接和2 ^ 50计算为了解密的900年观察到的TLS连接。运行的计算攻击Amazon的EC2云计算平台将耗资约440美元,研究者估计。
建立40000年HTTPS连接与服务器可能听起来像一个很大的数,但它不是。与Apache 2.4服务器测试,研究人员完成了10000 HTTPS请求在10秒。
攻击明显更容易实现对服务器使用一个版本的OpenSSL库时容易受到两个已知的缺陷。
其中一个漏洞跟踪cve - 2015 - 3197和允许淹没攻击者连接到服务器使用禁用SSLv2的站点时密码套件,如果本身支持SSLv2的站点时启用。这个漏洞修补在OpenSSL版本1.0.1r 1.0.2f,1月28日发布。
第二个弱点cve - 2016 - 0703大大减少了时间和成本的执行淹没攻击和源于一个错误在OpenSSL 1.0.2a修补,1.0.1m,1.0.0r和0.9.8zf早在2015年3月,在那之前的缺陷的影响是理解和报道OpenSSL项目。
服务器很容易cve - 2016 - 0703,这意味着他们最后更新他们的OpenSSL库在2015年3月之前,淹没攻击可以在不到一分钟使用一个电脑。
研究人员扫描了脆弱的互联网服务器,接受SSLv2的站点时连接港口与SSL / TLS通信:端口443(HTTPS),端口25与STARTTLS(SMTP),110(POP3 STARTTLS),143(IMAP STARTTLS),465(SMTP),587(SMTP STARTTLS)、993(IMAP)和995(POP3)。
他们发现17%的HTTPS服务器直接容易受到通用淹没攻击版本。此外,25%的STARTTLS SMTP服务器、pop3和imap服务器的20%和20%的SMTP服务器是脆弱的。
他们还发现许多HTTPS服务器不支持直接SSLv2的站点时,但共享相同的私钥与其他网站或电子邮件服务器,支持它。这使得那些non-SSLv2服务器也脆弱,影响HTTPS服务器的整体比例提高到33%。
幸运的是,脆弱的服务器不需要替换他们的证书,因为淹没不暴露他们的长期私钥。相反,攻击只公开密钥协商为特定的客户端和服务器会话。
这仍然是一个大问题,因为解密甚至单个会话可能暴露用户的登录凭证,会话cookie和其他个人和财务信息。然而,攻击者将需要为每个用户执行攻击淹没。
服务器管理员需要确保他们有残疾支持SSLv2的站点时在他们的服务器上。研究人员提供说明怎么做一些最常见的TLS库和Web服务器。
管理员还应该确保即使一个服务器不支持SSLv2的站点时,其私钥不重用在其他服务器上。研究人员发布了一个测试工具,决定如果服务器是脆弱的,受重用的关键。 |
|