FREAK man in the middle fenyegetés

CH azonosító

CH-12043

Angol cím

Tracking the FREAK Attack

Felfedezés dátuma

2015.03.02.

Súlyosság

Közepes

Érintett rendszerek

Android
Apple
BlackBerry
Google
Microsoft
OpenSSL
OpenSSL Software Foundation
Safari
Windows
iPhone OS (iOS)

Érintett verziók

OpenSSL < 0.9.8zd, < 1.0.0p, < 1.0.1k BlackBerry OS 10.x BlackBerry OS 7.x

Összefoglaló

Egy SSL/TLS biztonsági rés látott nap világot, amit FREAK támádasnak neveztek el. A sérülékenység lehetővé teszi a támadóknak, hogy a HTTPS kapcsolatokat a kiszolgáltatott ügyfelek és a kiszolgálók között elfogják, beékelődéses támádást (man in the middle) hajtsanak végre, és arra kényszerítsék őket, hogy gyenge (“export grade”) titkosítást használjanak, amit a mai technikával könnyen vissza tudnak fejteni, illetve a forgalmat meg tudják változtatni.

Leírás

A kapcsolat nem tekinthető biztonságosnak, ha a kliens a szerver felkínálása alapjána az RSA_EXPORT_* titkosítási protokollok valamelyikét fogadja el. A friss (a CVE-2015-0204 sérülékenységet nem tartalmazó), illetve biztonságosan beállított OpenSSL-alapú szerverek nem kínálnak fel ilyen nem biztonságos protokollcsaládokat.

A kiszolgáltatott kilensek közé tartozik számos olyan Google és Apple készülék, amin nem javították az OpenSSL hibáját, vagy azok ahol letiltották a biztonságot nyújtó TLS protokoll használatát.

Megoldás

Apple:

 Az Apple is kiadta a FREAK sérülékenység javítására a javító patcheit MAC-re és iOS-re:

  • https://support.apple.com/en-us/HT204413
  • https://support.apple.com/en-us/HT204423

A mobil operációs rendszerek frissítése után a FREAK sérülékenység nem hárult el teljesen, mivel a felhasználók által használt applikációkban továbbra is fennáll az imént említett sérülékenység.

Microsoft:

A Windows rendszereknél a Márciusi frissítés Windows Server 2008-tól az újabb változatokig megoldja a problémát. 

https://technet.microsoft.com/library/security/MS15-031

Windows rendszereknél konfigurációs beállítások módosításával nem szüntethető meg az alapvető probléma, de ez is segíthet kivédeni a támadásokat. További információk a gyártó oldalán:

  • https://technet.microsoft.com/en-us/library/security/3046015
A FREAK ellen javasolt workaround Windows Server 2003 esetében megakadályozza 
Windows Update-ek későbbi települését.
Az otthoni használatra szánt Windows verziókhoz:
  • http://m.heise.de/security/meldung/Freak-Attack-Hotfix-legt-Windows-Update-lahm-2570391.html?wt_mc=rss.security.beitrag.atom&from-classic=1

HTTPS szerver tesztelése:

  • https://www.ssllabs.com/ssltest

A sérülékeny rendszerek esetében a következő üzenet jelenik meg: “This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224) and exploitable”.  

  • https://sslanalyzer.comodoca.com/

Szerver oldalbeállításai:

  • https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
  • https://mozilla.github.io/server-side-tls/ssl-config-generator/