Drown Attack – Nova vulnerabilidade no SSL

por

Servidores vulneráveis ao Drown Attack podem permitir a interceptação de tráfego encriptado. Veja como testar seus sistemas.

Pesquisadores na Alemanha e Estados Unidos divulgaram em um paper uma vulnerabilidade que afeta uma parcela importante dos servidores na internet.

Drown

Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos mais essenciais para segurança na internet. Estes protocolos permitem que você navegue, acesse seu banco, compre, use email e mensagens instantâneas sem que terceiros possam ler as comunicações.

Atualmente a maioria dos sites e aplicações seguras usa TLS e não SSLv2, que é um padrão defasado desenvolvido nos anos 90. O Drown aproveita que alguns servidores que usam TLS por padrão também suportam SSLv2 e explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um servidor vulnerável em menos de 1 minuto.

 

Durante o mês de fevereiro, os pesquisadores realizaram uma ampla varredura na internet e descobriram que 33% de todo tráfego HTTPS pode estar vulnerável ao ataque Drown. É importante ressaltar que a quebra da criptografia depende também da capacidade de monitorar o tráfego TLS, mas isto é facilmente realizável em redes públicas ou a partir da invasão da rede tanto no lado do cliente como do lado do servidor. Como a vulnerabilidade está do lado do servidor, não há nada que possa ser feito no lado do cliente, que nem fica sabendo que o ataque está acontecendo.

Diagrama Drown

A solução definitiva passa por desabilitar o suporte a SSLv2 nos servidores, o que você provavelmente deveria ter feito a mais tempo dado que o protocolo é notoriamente vulnerável. O SSLv2 já vem desabilitado por padrão em servidores IIS 7.0 ou superiores. Há o risco também com servidores diferentes que compartilhem a mesma chave pública, o que é comum em certificados wildcard. Neste caso se um deles usar SSLv2, os demais servidores que usem somente TLS também podem ser atacados.

Os pesquisadores disponibilizaram no site https://drownattack.com/ uma ferramenta de verificação se o seu site está vulnerável. Entretanto, ela se baseia em resultados da varredura feita em fevereiro, portanto os resultados precisam ser verificados de outra forma.

Clientes de contrato da Leverage tem a opção do scan periódico de vulnerabilidades, o qual pode ajudar a identificar servidores vulneráveis que façam uso de certificados com suporte a SSLv2. Dúvidas de como proceder? Entre em contato!

 

 

Categoria : Ataques, Criptografia
Tags : , , , , ,