`
WS_Daniel
  • 浏览: 24587 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

SSL/TLS安全:Schannel中WinShock漏洞及解决办法

阅读更多

       Schannel是最新被发现存在SSL/TLS安全问题的加密库,在过去一年中SSL/TLS协议出于各种错误的塬因占据着新闻头条。苹果的SecureTransportOpenSSLGnuTLSMozillaNSS等加密软件库中出现了各种漏洞和部署问题,这让供应商和管理员都忙于解决这些潜在严重漏洞,以缓解对网络、用户及其数据的威胁。

  其中微软的Secure Channel或者说Schannel是最新被发现容易受到攻击的加密库。

  【SchannelWinShock漏洞】

  Schannel是微软的SSL/TLS协议部署,类似于OpenSSLLinux系统中的使用。这个组件存在于所有微软Windows平台,并且大多数需要SSL/TLS加密和身份验证服务(例如IISActive DirectoryOWAExchangeIEWindows Update)Windows软件都在使用它。

  在去年11月,微软发布了安全公告MS14-066来解决Schannel中发现的漏洞,该漏洞被称为WinShock。通过发送特制的网络流量,远程攻击者可以利用WinShock漏洞,在服务器或客户端执行任意代码,从而允许攻击者通过恶意软件感染目标。攻击者还可以在不需要身份验证的情况下通过未请求的网络流量来发动攻击,这正是该漏洞非常严重的塬因。

  【关于WinShock漏洞修复】

  WinShock漏洞应该尽快被修复。根据微软表示,目前还没有已知的缓解或解决办法;它甚至可以绕过增强缓解体验工具包(EMET)

  在企业中,最易受攻击的Windows设备是连接到互联网(例如Web和邮件服务器)的设备,因此这些设备最应该受到保护。其次,企业应该专注于修复内部服务器,然后是移动设备,最后是内部客户端。

  管理员应该假设所有运行Windows的设备都易受到攻击,并使用资产注册表来确保没有遗漏设备,因为攻击者可能监听被遗忘的VPN、即时通讯和其他软件来获取入站SSL连接。企业应确保更新网络防御来检测和阻止对该漏洞的利用;思科已经为MS14-066发布了很多Snort规则。

  【WinShock漏洞严重性】

  对于WinShock漏洞的真正性质存在一些混淆,例如它是如何被发现以及被谁发现,CVE-2014-6321是否实际上涵盖了Schannel中的多个漏洞等。这个更新通过纠正Schannel审查特制数据包的方式解决该漏洞,同时,微软还对现有TLS加密套件进行了更改。虽然提供更强大的加密功能,但这些加密功能给运行Server 2008 R2Windows Server 2012的一些系统造成了问题,因为TLS 1.2连接被撤销,服务变得间歇性反应迟钝。

  随后微软重新发布了MS14-066更新,新的TLS加密在默认情况下未启用。这次更新(编号3018238)将通过MS14-066的安全更新自动安装。如果系统已经安装了MS14-066更新,该更新将会重新提供以确保安装新的加密更新。安装这些新的更新将需要重新启动。

  影响所有Windows服务器版本的任何远程代码执行漏洞都可能比HeartbleedHeartbleed相关信息www.evssl.cn/ev-ssl-news1/78.html)更糟糕,这是因为受影响系统的数量非常多。然而,与Heartbleed相比,WinShock似乎更难以被利用,更容易被修复,所以它应该更容易被控制。

  尽管微软对WinShock的漏洞利用可能性标记为“1”—这表明攻击者可能很快会开发出漏洞利用,但微软估计攻击者很难创建出可靠的漏洞利用。(微软的补丁并不包括源代码,但攻击者将会进行逆向工程来了解漏洞以开发可行的攻击)

  当HeartbleedPOODLE漏洞(如何修复SSL POODLE漏洞请参考www.evssl.cn/ev-ssl-ask/170.html

为公众所知时,它们的利用代码已经存在,并且漏洞利用的要求相对不高。这就是说,它们都只是导致信息泄露,而不是远程代码执行。

  现在的大问题是,从目前的情形来看,WinShockWindows XPWindows 2000的永远漏洞,因为这些系统不再受微软支持。这是企业从这些过时的操作系统升级的另一个强大的动力。如果微软不放宽政策,并为这些版本发布安全补丁,管理员将需要隔离和移除运行这些操作系统的机器,它们都可能被利用且不可修复。

 

  WinShockHeartbleed等漏洞显示了保持最新资产登记的重要性,这样的话,当发现关键漏洞时,管理员将知道哪些设备或软件可能存在风险。这让修复优先排序更快和更容易,并且可以确保不会有设备或系统被遗漏。

分享到:
评论

相关推荐

    .net中为 SSL/TLS 安全通道建立信任关系

    在本文中,我们将讨论如何在 .NET 中建立 SSL/TLS 安全通道的信任关系,并解决常见的调试错误。 什么是 SSL/TLS? SSL/TLS 是一种安全协议,用于保护数据在网络上传输的安全。它通过对称加密和非对称加密来确保...

    Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本

    Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击

    基于SSL/TLS协议的FTP客户端和服务器端

    **基于SSL/TLS协议的FTP客户端和服务器端** 在当今的网络环境中,数据安全尤为重要,尤其是在文件传输过程中。...通过学习这个项目,开发者可以深入了解SSL/TLS协议的运用,以及如何在Java中实现安全的网络通信。

    解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件

    解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件

    ssl/tls安全协议

    至今,TLS已经发展到TLS 1.3版本,提高了安全性,减少了握手过程的时间,增强了隐私保护,并修复了已知的安全漏洞。 3. OpenSSL库: OpenSSL是一个开源的加密库,包含了实现SSL/TLS协议所需的全部工具和函数。它...

    SSL/TLS加密:Nginx的网络安全之盾

    4. **SSL/TLS终端**:Nginx支持SSL和TLS协议,可以作为SSL终端,为HTTP流量提供加密。 5. **模块化设计**:Nginx具有模块化的设计,可以通过添加第三方模块来扩展其功能。 6. **缓存机制**:Nginx支持HTTP缓存,可以...

    JAVA实现的SSL/TLS双向认证源代码

    Java提供的SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议是确保数据安全的重要工具。本篇将深入探讨如何使用Java实现SSL/TLS双向认证,以及涉及到的相关工具和步骤。 首先,让我们理解什么是...

    Implementing SSL / TLS Using Cryptography and PKI 1st Edition (无水印,数字版)

    - 定期更新和打补丁:确保使用的SSL/TLS实现是最新的,并且修补了已知的安全漏洞。 - 使用最新版本的TLS:建议使用TLS 1.2或1.3,因为它们提供了更高的安全性和性能。 - 禁用SSL和旧版本的TLS:为避免安全风险,应...

    Netty和SSL/TLS应用例子

    SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全传输层的重要协议,它们为网络通信提供了加密处理,确保了数据在网络中的安全传输。 本示例代码着重展示了如何在Netty中集成SSL/TLS,以...

    ssl_android.zip_TLS_android_android ssl_application_ssl/tls

    1. **使用最新的SSL/TLS版本**:始终保持应用使用最新版本的SSL/TLS,避免已知的安全漏洞。目前推荐使用TLS 1.2或更高版本。 2. **禁用不安全的协议和密码套件**:移除不再安全的SSL/TLS协议(如SSLv3)和密码套件...

    ssl dos 用于测试https网站

    **SSL/TLS协议**:SSL(Secure Socket Layer)和TLS(Transport Layer Security)是互联网上保障数据安全传输的两种主要协议。它们通过加密通信和身份验证,确保了用户与服务器之间的隐私和数据完整性。HTTPS...

    IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具

    **IISCrypto:SSL/TLS协议安全配置工具** ...IISCrypto 是一款专为Windows服务器(如Windows 2008、2012、2016)设计的实用工具,用于解决SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议的安全问题...

    scapy-ssl_tls-1.2.3.4.zip

    Scapy-ssl_tls库的使用不仅限于解码,还可以用于模拟服务器和客户端进行交互,进行SSL/TLS协议的深度分析,甚至进行安全漏洞的检测。结合Scapy的其他功能,可以实现更复杂的网络协议操作,例如修改或重放特定的SSL/...

    netty实现SSL/TSL双向加密认证示例

    SSL/TLS 是互联网上广泛采用的安全通信协议,确保数据在网络传输过程中保持私密性和完整性。 首先,让我们了解 SSL/TLS 的基本概念。SSL/TLS 提供了服务器身份验证、客户端身份验证以及数据加密。在双向认证中,...

    ESP8266 MQTT SSL/TLS 阿里物联网套件 百度天工 Onenet等MQTT服务器(注意:是固件)

    在这个场景中,我们关注的是ESP8266如何通过MQTT协议安全地连接到阿里物联网套件、百度天工以及Onenet等MQTT服务器,且重点在于使用SSL/TLS进行加密通信。 **MQTT协议** MQTT(Message Queuing Telemetry Transport...

    XEP-0035: SSL/TLS Integration.pdf

    1. **SSL/TLS握手**:在XMPP中,SSL/TLS的整合始于握手过程,这是客户端和服务器之间建立安全连接的第一步。在这个过程中,双方交换证书、协商加密算法和共享密钥,以确保后续的数据传输是加密的。 2. **身份验证**...

    tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf

    2. **SSL协议**:SSL是TLS的前身,两者在概念上相似,但TLS是SSL的更新版本,提供了更多的安全功能和修复了已知的安全漏洞。SSL常用于Web浏览器和服务器之间的安全通信。 3. **SSL/TLS的主要功能**: - **加密通信...

    关于SSL/TLS的认识

    SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全协议,用于在互联网上提供安全通信。它们确保了在客户端(如浏览器)和服务器之间传输的数据是加密的,保护了用户的隐私和数据完整性,防止...

Global site tag (gtag.js) - Google Analytics