Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/03/2015
Microsoft confirma que los sistemas Windows también son vulnerables a FREAK
A pesar de que inicialmente se reportó que la vulnerabilidad SSL FREAK recientemente publicada únicamente afectaba al navegador por defecto en Android, dispositivos Apple (iOS y OSX) y servidores UNIX que implementaran versiones vulnerables de OpenSSL; Microsoft acaba de confirmar que también son vulnerables los sistemas Windows cliente y los servidores que instalen versiones vulnerables de OpenSSL.
Al parecer, finalmente, todos los sistemas operativos de alta difusión entre los usuarios están afectados por la vulnerabilidad SSL FREAK, que puede permitir a un atacante remoto degradar el cifrado empleado en las comunicaciones entre cliente y servidor y así mediante la realización de un ataque Man in the Middle (MitM) comprometer la confidencialidad o la integridad de las comunicaciones. Recientemente CSIRT-CV publicó una alerta de seguridad relacionada con este problema.
Es importante destacar que el protocolo SSL se suele emplear en las comunicaciones más críticas de Internet, como acceso a banca online, comunicaciones gubernamentales, o realización de pagos online. El origen histórico de la vulnerabilidad se remonta a los años 90, en los que el gobierno de Estados Unidos celoso de proteger sus tecnologías, implementó un sistema más débil de cifrado para el envío de información internacional. De este modo evitaba que en el exterior del país no tuvieran acceso a su tecnología interna de cifrado, así como se facilitaba medios para descifrar las comunicaciones exteriores, con un cifrado más débil.
Aunque no se ha confirmado, se tiene constancia que este tipo de ataque se ha empleado para comprometer comunicaciones de gobiernos, bancos y diversos servicios online. Por su parte, los fabricantes afectados como Apple o Microsoft, ya han anunciado al publicación inminente de actualizaciones que subsanen el problema. Concretamente, Microsoft, facilita instrucciones completas para la aplicación de un Workaround (en inglés) que proteja los servidores afectados de forma previa a la publicación de las actualizaciones.
Más información y artículo completo en el siguiente enlace.