Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/03/2015
Microsoft confirma que els sistemes Windows també són vulnerables a FREAK
A pesar que inicialment es va reportar que la vulnerabilitat SSL FREAK, recentment publicada, únicament afectava el navegador per defecte en Android, dispositius Apple (iOS i OSX) i servidors UNIX que implementaren versions vulnerables d’OpenSSL, Microsoft acaba de confirmar que també són vulnerables els sistemes Windows client i els servidors que instal·len versions vulnerables d’OpenSSL.
Segons pareix, finalment tots els sistemes operatius d’alta difusió entre els usuaris estan afectats per la vulnerabilitat SSL FREAK, que pot permetre a un atacant remot degradar l'encriptació utilitzada en les comunicacions entre client i servidor i així, per mitjà de la realització d’un atac Man in the Middle (MiTM), comprometre la confidencialitat o la integritat de les comunicacions. Recentment CSIRT-CV va publicar una alerta de seguretat relacionada amb este problema.
És important destacar que el protocol SSL se sol emprar en les comunicacions més crítiques d’Internet, com ara accés a banca en línia, comunicacions governamentals o realització de pagaments en línia. L’origen històric de la vulnerabilitat es remunta als anys 90, anys en què el govern dels Estats Units, zelós de protegir les seues tecnologies, va implementar un sistema més dèbil d'encriptació per a l’enviament d’informació internacional. D’esta manera, evitava que en l’exterior del país tingueren accés a la seua tecnologia interna d'encriptació, i també es facilitaven mitjans per a desencriptar les comunicacions exteriors, amb una encriptació més dèbil.
Encara que no s’ha confirmat, hi ha constància que este tipus d’atac s’ha emprat per a comprometre comunicacions i governs, bancs i diversos servicis en línia. D'altra banda, els fabricants afectats com ara Apple o Microsoft ja han anunciat la publicació imminent d’actualitzacions que esmenen el problema. Concretament, Microsoft facilita instruccions completes per a l’aplicació d’un Workaround (en anglés) que protegisca els servidors afectats abans de la publicació de les actualitzacions.
Més informació i l'article complet en el següent enllaç.