FREAK man in the middle fenyegetés

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

OpenSSL < 0.9.8zd, < 1.0.0p, < 1.0.1k BlackBerry OS 10.x BlackBerry OS 7.x

Összefoglaló

Egy SSL/TLS biztonsági rés látott nap világot, amit FREAK támádasnak neveztek el. A sérülékenység lehetővé teszi a támadóknak, hogy a HTTPS kapcsolatokat a kiszolgáltatott ügyfelek és a kiszolgálók között elfogják, beékelődéses támádást (man in the middle) hajtsanak végre, és arra kényszerítsék őket, hogy gyenge (“export grade”) titkosítást használjanak, amit a mai technikával könnyen vissza tudnak fejteni, illetve a forgalmat meg tudják változtatni.

Leírás

A kapcsolat nem tekinthető biztonságosnak, ha a kliens a szerver felkínálása alapjána az RSA_EXPORT_* titkosítási protokollok valamelyikét fogadja el. A friss (a CVE-2015-0204 sérülékenységet nem tartalmazó), illetve biztonságosan beállított OpenSSL-alapú szerverek nem kínálnak fel ilyen nem biztonságos protokollcsaládokat.

A kiszolgáltatott kilensek közé tartozik számos olyan Google és Apple készülék, amin nem javították az OpenSSL hibáját, vagy azok ahol letiltották a biztonságot nyújtó TLS protokoll használatát.

Megoldás

Apple:

 Az Apple is kiadta a FREAK sérülékenység javítására a javító patcheit MAC-re és iOS-re:

• https://support.apple.com/en-us/HT204413
• https://support.apple.com/en-us/HT204423

A mobil operációs rendszerek frissítése után a FREAK sérülékenység nem hárult el teljesen, mivel a felhasználók által használt applikációkban továbbra is fennáll az imént említett sérülékenység.

Microsoft:

A Windows rendszereknél a Márciusi frissítés Windows Server 2008-tól az újabb változatokig megoldja a problémát. 

https://technet.microsoft.com/library/security/MS15-031

Windows rendszereknél konfigurációs beállítások módosításával nem szüntethető meg az alapvető probléma, de ez is segíthet kivédeni a támadásokat. További információk a gyártó oldalán:

• https://technet.microsoft.com/en-us/library/security/3046015

A FREAK ellen javasolt workaround Windows Server 2003 esetében megakadályozza 
Windows Update-ek későbbi települését.

Az otthoni használatra szánt Windows verziókhoz:

• http://m.heise.de/security/meldung/Freak-Attack-Hotfix-legt-Windows-Update-lahm-2570391.html?wt_mc=rss.security.beitrag.atom&from-classic=1

HTTPS szerver tesztelése:

• https://www.ssllabs.com/ssltest

A sérülékeny rendszerek esetében a következő üzenet jelenik meg: “This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224) and exploitable”.  

• https://sslanalyzer.comodoca.com/

Szerver oldalbeállításai:

• https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
• https://mozilla.github.io/server-side-tls/ssl-config-generator/

Támadás típusa

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: freakattack.com
CVE-2015-0204 - NVD CVE-2015-0204
Egyéb referencia: securityblog.redhat.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: www.engadget.com
Egyéb referencia: www.blackberry.com