三種Windows服務器SSL/TLS的安全漏洞以及其補救方法

責任編輯:editor006

作者:Kevin Beaver

2015-04-09 14:29:37

摘自:TechTarget中國

不久之前在Windows服務器上簡單地使用SSL,或者其后繼者TLS還都被認為是很安全的通信方式。FREAK(Factoring Attack on RSA-EXPORT Keys)是一個新的漏洞,可使攻擊者強制對有漏洞的瀏覽器和服務器進行加密強度降級。

不久之前在Windows服務器上簡單地使用SSL,或者其后繼者TLS還都被認為是很安全的通信方式。但是現(xiàn)在時代變了,SSL和TLS已經名聲敗壞。在過去的幾年里有許多值得你注意的嚴重安全漏洞被逐個曝光,有一些影響了Windows服務器,有一些卻沒有。以下列出了你需要知道的信息:

心臟出血漏洞(Heartbleed)是一個OpenSSL漏洞(OpenSSL經常運行在一些Windows服務器上),此漏洞會利用TLS的心跳擴展存在的缺陷,遠程訪問服務器內存和連接在服務器上的用戶。

POODLE (Padding Oracle On Downgraded Legacy Encryption)是一種中間人攻擊,SSL 3.0版本和TLS 1.0 到1.2版本會受到這個漏洞的影響。

FREAK(Factoring Attack on RSA-EXPORT Keys)是一個新的漏洞,可使攻擊者強制對有漏洞的瀏覽器和服務器進行加密強度降級。

很多影響Windows服務器的SSL和TLS漏洞可以追溯到很多年前,這些漏洞有的影響SSL版本2,有的影響弱加密密碼。有趣的是,根據我的安全評估經驗,大部分Windows服務器都是存在至少一個漏洞的(很多時候是很多個)。而且這些服務器暴露在互聯(lián)網上等著被攻破。

那么如何才能知道你的Windows服務器是否存在這些所謂的漏洞呢?很簡單,只需要做以下這些事情:

用WSUS、MBSA或者第三方的補丁管理軟件去檢查沒有打上的補丁(注意:僅僅打補丁并不會修補所有SSL/TLS的漏洞,例如心臟出血漏洞)。

使用Nexpose、GFI LanGuard或者網頁版弱點掃描器(例如Netsparker或者Acunetix之類的弱點掃描軟件)進行弱點掃描。

使用類似SSL LABS SSL Server Test和freakattack.com的網頁去檢查你現(xiàn)有的配置和弱點。

說了這么多關于SSL和TLS的危險性,其實真正的危險并不是因為數(shù)據是在(互聯(lián)網)傳輸?shù)?,而是系統(tǒng)本身。如果你的Windows服務器運行的SSL和TLS版本存在已知的漏洞,那么你就是自找麻煩。想想如果這樣會發(fā)生什么,最好的情況是你會在弱點評估或者審計中發(fā)現(xiàn)這些問題并按要求進行修復。。最壞的情況是有人利用心臟出血漏洞或者類似的漏洞讓你的數(shù)據外泄。任何一種情形相信你都不會想遭遇。

最好處理Windows服務器的方法還是修復這些討厭的安全問題,解決它們,但是不要僅僅停留在修復而已。你還必須保持警醒,這意味著在做安全檢查和必需的維護時還得上點心以讓系統(tǒng)更有彈性防止攻擊,這不僅僅是對所有已知的風險,我們應該看得更遠。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號