Поделиться через

Microsoft Security Advisory 3009008

  • Статья

Уязвимость в SSL 3.0 может разрешить раскрытие информации

Опубликовано: 14 октября 2014 г. | Обновлено: 14 апреля 2015 г.

Версия: 3.0

Общие сведения

Краткий обзор

Корпорация Майкрософт знает о подробной информации, опубликованной с описанием нового метода для использования уязвимости в SSL 3.0. Это уязвимость по всей отрасли, влияющая на сам протокол SSL 3.0 и не относится к операционной системе Windows. Все поддерживаемые версии Microsoft Windows реализуют этот протокол и влияют на эту уязвимость. Корпорация Майкрософт не знает об атаках, которые пытаются использовать сообщаемую уязвимость в настоящее время. Учитывая сценарий атаки, эта уязвимость не считается высоким риском для клиентов.

Мы активно работаем с партнерами в программе Microsoft Active Protections (MAPP), чтобы предоставить информацию, которую они могут использовать для обеспечения более широкой защиты для клиентов.

Корпорация Майкрософт объявляет о том, что выпуск обновления безопасности 3038314 14 апреля 2015 г. SSL 3.0 по умолчанию отключен в Интернете Обозреватель 11. Корпорация Майкрософт также объявляет, что SSL 3.0 будет отключена в microsoft веб-службы в течение ближайших месяцев. Мы рекомендуем клиентам перенести клиенты и службы в более безопасные протоколы безопасности, такие как TLS 1.0, TLS 1.1 или TLS 1.2.

Смягчающие факторы:

  • Злоумышленник должен сделать несколько сотен httpS-запросов, прежде чем атака может быть успешно выполнена.
  • TLS 1.0, TLS 1.1, TLS 1.2 и все наборы шифров, которые не используют режим CBC, не затрагиваются.

Рекомендация. Дополнительные сведения об отключении SSL 3.0 см. в разделе "Предлагаемые действия". Корпорация Майкрософт рекомендует клиентам использовать эти обходные пути для проверки своих клиентов и служб на использование SSL 3.0 и начать миграцию соответствующим образом.

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих ссылках:

Ссылки Идентификация
Статья базы знаний 3009008
Справочник по CVE CVE-2014-3566 

Затронутого программного обеспечения

В этом руководстве рассматривается следующее программное обеспечение.

Затронутого программного обеспечения

|**Операционная система**| |------------| |Windows Server 2003 с пакетом обновления 2 |Windows Server 2003 x64 Edition с пакетом обновления 2 |Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium| |Windows Vista с пакетом обновления 2 | |Windows Vista x64 Edition с пакетом обновления 2 | |Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | |Windows Server 2008 для систем на основе x64| |Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 | |Windows 7 для 32-разрядных систем с пакетом обновления 1 |Windows 7 для систем на основе x64 с пакетом обновления 1 | |Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 | |Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 | |Windows 8 для 32-разрядных систем| |Windows 8 для систем на основе x64| |Windows 8.1 для 32-разрядных систем| |Windows 8.1 для систем на основе x64| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Server Core installation option**| |Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов)| |Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов)| |Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов)| |Windows Server 2012 (установка основных серверных компонентов)| |Windows Server 2012 R2 (установка основных серверных компонентов)|

 

Вопросы и ответы о рекомендациях


Я использую версию Интернет-Обозреватель, кроме 11. Как защитить систему от этой уязвимости?
ПРОТОКОЛ SSL 3.0 отключен только в Интернете Обозреватель 11 во всех поддерживаемых выпусках Microsoft Windows. Если вы используете другую версию Интернет-Обозреватель, ознакомьтесь с разделом предлагаемых обходных решений, которые можно применить к системе для защиты от этой уязвимости.

Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что корпорация Майкрософт знает о подробной информации, описывающей новый метод для использования уязвимости, влияющей на SSL 3.0. Эта уязвимость является уязвимостью раскрытия информации.

Как злоумышленник может воспользоваться уязвимостью?
В атаке "человек в середине" (MiTM) злоумышленник может понизить зашифрованный сеанс TLS, заставляя клиентов использовать SSL 3.0, а затем принудительно выполнить вредоносный код в браузере. Этот код отправляет несколько запросов на целевой веб-сайт HTTPS, где файлы cookie отправляются автоматически, если существует предыдущий сеанс проверки подлинности. Это необходимое условие для использования этой уязвимости. Затем злоумышленник может перехватить этот трафик HTTPS и воспользоваться слабостью шифра блока CBC в SSL 3.0, может расшифровать части зашифрованного трафика (например, файлы cookie проверки подлинности).

Что может сделать злоумышленник с этой уязвимостью?
Злоумышленник, который успешно воспользовался этой уязвимостью, может расшифровать части зашифрованного трафика.

Что вызывает уязвимость?
Уязвимость вызвана отсутствием проверки блочного шифра CBC в SSL 3.0.

Что такое SSL?
Secure Sockets Layer (SSL) — это криптографический протокол, обеспечивающий безопасность связи через Интернет. SSL шифрует данные, передаваемые по сети, с помощью шифрования для конфиденциальности и кода проверки подлинности с ключами для надежности сообщений.

Что такое TLS?
Протокол TLS — это стандартный протокол, используемый для обеспечения безопасного веб-взаимодействия в Интернете или интрасети. Он позволяет клиентам проходить проверку подлинности серверов или, при необходимости, серверам для проверки подлинности клиентов. Он также предоставляет безопасный канал путем шифрования коммуникаций. TLS — это последняя версия протокола SSL.

Влияет ли tls на эту проблему?
№ Эта проблема связана с SSL 3.0.

Это проблема на уровне отрасли?
Да. Уязвимость находится в проектировании протокола SSL 3.0 и не ограничивается реализацией Корпорации Майкрософт.

Предлагаемые действия

Применение обходных решений

Обходные пути относятся к изменению параметров или конфигурации, которые не исправляют базовую проблему, но помогут заблокировать известные векторы атак до того, как будет доступно обновление системы безопасности.

  • Отключите ПРОТОКОЛ SSL 3.0 и включите TLS 1.0, TLS 1.1 и TLS 1.2 в Интернете Обозреватель

    Протокол SSL 3.0 можно отключить в Интернете Обозреватель, изменив параметры расширенной безопасности в Интернете Обозреватель.

    Чтобы изменить версию протокола по умолчанию, используемую для HTTPS-запросов, выполните следующие действия.

    1. В меню "Средства Обозреватель Интернета" щелкните InternetOptions.
    2. В диалоговом окне InternetOptions щелкните вкладку "Дополнительно".
    3. В категории "Безопасность", un проверка UseSSL3.0 и проверка Use TLS 1.0, use TLS 1.1, and Use TLS 1.2 (if available).
    4. Обратите внимание, что важно проверка последовательных версий. Не выбирайте последовательные версии (например, проверка при подключении TLS 1.0 и 1.2, но не проверка 1.1) могут привести к ошибкам подключения.
    5. Щелкните OK.
    6. Выйдите и повторно запустите Internet Explorer.

    Примечание. После применения этого обходного решения интернет-Обозреватель не сможет подключиться к веб-серверам, поддерживающим протокол SSL до 3.0 и не поддерживая TLS 1.0, TLS 1.1 и TLS 1.2. 

    Примечание.
    См. статью базы знаний Майкрософт 3009008, чтобы использовать автоматизированное решение Microsoft Fix, чтобы отключить протокол SSL 3.0 только в Интернете Обозреватель.

    Как отменить обходное решение. Выполните следующие действия, чтобы включить ПРОТОКОЛ SSL 3.0 в Интернете Обозреватель.

    1. В меню "Средства Обозреватель Интернета" щелкните InternetOptions.
    2. В диалоговом окне InternetOptions щелкните вкладку "Дополнительно".
    3. В категории "Безопасность" проверка UseSSL3.0.
    4. Щелкните OK.
    5. Выйдите и повторно запустите Internet Explorer.

  • Отключите ПРОТОКОЛ SSL 3.0 и включите TLS 1.0, TLS 1.1 и TLS 1.2 для Интернета Обозреватель в групповой политике

    Вы можете отключить поддержку протокола SSL 3.0 в Интернете Обозреватель с помощью групповой политики, изменив объект групповой политики поддержки отключения шифрования.

    1. Откройте раздел Управление групповой политикой.

    2. Выберите объект групповой политики для изменения, щелкните правой кнопкой мыши и нажмите кнопку "Изменить".

    3. В редакторе управления групповыми политиками перейдите к следующему параметру:
      Конфигурация компьютера —> шаблоны Администратор istrative —> компоненты Windows —> Интернет Обозреватель —> Интернет панель управления —> расширенная страница —> отключение поддержки шифрования

    4. Дважды щелкните параметр "Отключить службу поддержки шифрования", чтобы изменить этот параметр.

    5. Щелкните Включен.

    6. В окне "Параметры" измените параметры сочетаний безопасных протоколов на "Use TLS 1.0, TLS 1.1 и TLS 1.2".

    7. Обратите внимание, что важно проверка последовательных версий. Не выбирайте последовательные версии (например, проверка при подключении TLS 1.0 и 1.2, но не проверка 1.1) могут привести к ошибкам подключения.

    8. Щелкните OK.

      Обратите внимание, что Администратор istrator должны убедиться, что эта групповая политика применяется соответствующим образом, связав объект групповой политики с соответствующим подразделением в своей среде.

    Примечание. После применения этого обходного решения интернет-Обозреватель не сможет подключиться к веб-серверам, поддерживающим протокол SSL до 3.0 и не поддерживая TLS 1.0, TLS 1.1 и TLS 1.2. 

    Как отменить обходное решение. Выполните следующие действия, чтобы отключить параметр политики SSL 3.0:

    1. Откройте раздел Управление групповой политикой.

    2. Выберите объект групповой политики для изменения, щелкните правой кнопкой мыши и нажмите кнопку "Изменить".

    3. В редакторе управления групповыми политиками перейдите к следующему параметру:
      Конфигурация компьютера —> шаблоны Администратор istrative —> компоненты Windows —> Интернет Обозреватель —> Интернет панель управления —> расширенная страница —> отключение поддержки шифрования

    4. Дважды щелкните параметр "Отключить службу поддержки шифрования", чтобы изменить этот параметр.

    5. Нажмите кнопку " Отключено".

    6. Щелкните OK.

  • Отключение SSL 3.0 в Windows

    Для серверного программного обеспечения

    Вы можете отключить поддержку протокола SSL 3.0 в Windows, выполнив следующие действия.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 или введите regedit, а затем нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующий раздел реестра:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    Обратите внимание , что если полный путь к разделу реестра не существует, его можно создать, развердив доступные ключи и используя параметр New ->Key в меню "Изменить ".

    1. В меню "Изменить" нажмите кнопку AddValue.
    2. В списке DataType щелкните DWORD.
    3. В поле ValueName введите "Включено" и нажмите кнопку "ОК". 

    Примечание. Если это значение присутствует, дважды щелкните значение, чтобы изменить его текущее значение.

    1. В диалоговом окне "Изменить DWORD" (32-разрядная версия) введите0.
    2. Щелкните OK. Перезагрузите компьютер.

     

    Обратите внимание , что это решение отключает SSL 3.0 для всех серверных программ, установленных в системе, включая СЛУЖБЫ IIS.

    Примечание. После применения этого обходного решения клиенты, использующие только SSL 3.0, не смогут взаимодействовать с сервером.

    Как отменить обходное решение. Выполните следующие действия, чтобы отключить SSL 3.0 в программном обеспечении Windows Server:

    1. Откройте редактор реестра.
    2. Найдите и выберите следующий раздел реестра:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. В меню "Изменить" нажмите кнопку "Удалить".
    2. Нажмите кнопку Да в открывшемся окне.
    3. Выйдите из редактора реестра.
    4. Перезапустите систему.

    Для клиентского программного обеспечения

    Вы можете отключить поддержку протокола SSL 3.0 в Windows, выполнив следующие действия.

    1. Нажмите кнопку "Пуск", нажмите кнопку "Выполнить", введите regedt32 или введите regedit, а затем нажмите кнопку "ОК".
    2. В редакторе реестра найдите следующий раздел реестра:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    Обратите внимание , что если полный путь к разделу реестра не существует, его можно создать, развердив доступные ключи и используя параметр New ->Key в меню "Изменить ".

    1. В меню "Изменить" нажмите кнопку AddValue.
    2. В списке DataType щелкните DWORD.
    3. В поле ValueName введите "Включено" и нажмите кнопку "ОК". 

    Примечание. Если это значение присутствует, дважды щелкните значение, чтобы изменить его текущее значение.

    1. В диалоговом окне "Изменить DWORD" (32-разрядная версия) введите0.
    2. Щелкните OK. Перезагрузите компьютер.

     

    Обратите внимание , что это решение отключает SSL 3.0 для всех клиентских программ, установленных в системе.

    Примечание. После применения этого обходного решения клиентские приложения на этом компьютере не смогут взаимодействовать с другими серверами, поддерживающими только SSL 3.0.

    Как отменить обходное решение. Выполните следующие действия, чтобы отключить SSL 3.0 в клиентском программном обеспечении Windows:

    1. Откройте редактор реестра.
    2. Найдите и выберите следующий раздел реестра:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. В меню "Изменить" нажмите кнопку "Удалить".
    2. Нажмите кнопку Да в открывшемся окне.
    3. Выйдите из редактора реестра.
    4. Перезапустите систему.

Дополнительные предлагаемые действия

  • Защита компьютера

    Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.

  • Обновление программного обеспечения Майкрософт

    Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.

Благодарности

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Бодо Мёллер группы безопасности Google для работы с нами по этому вопросу

Другие сведения

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (14 октября 2014 г.): рекомендации, опубликованные.
  • Версия 1.1 (15 октября 2014 г.): изменены рекомендации по включению обходного решения для отключения протокола SSL 3.0 в Windows.
  • Версия 2.0 (29 октября 2014 г.): Пересмотренная рекомендация по объявлению о прекращении использования SSL 3.0, чтобы уточнить обходные инструкции по отключению SSL 3.0 на серверах Windows и клиентах Windows, а также сообщить о доступности решения Microsoft Fix it для Интернета Обозреватель. Дополнительные сведения см. в статье базы знаний 3009008.
  • Версия 2.1 (9 декабря 2014 г.): Корпорация Майкрософт объявляет о доступности резервных предупреждений SSL 3.0 в Интернете Обозреватель 11. Дополнительные сведения см. в статье базы знаний 3013210.
  • Версия 2.2 (10 февраля 2015 г.): Корпорация Майкрософт объявляет, что резервные попытки SSL 3.0 отключены по умолчанию в Интернете Обозреватель 11. Дополнительные сведения см. в статье базы знаний Майкрософт 3021952.
  • Версия 2.3 (16 февраля 2015 г.): изменены рекомендации по объявлению запланированной даты отключения SSL 3.0 по умолчанию в Интернете Обозреватель 11.
  • Версия 3.0 (14 апреля 2015 г.) Пересмотренная рекомендация о выпуске обновления безопасности 3038314 14 апреля 2015 г. SSL 3.0 по умолчанию отключена в Интернете Обозреватель 11 и добавлена инструкция по отмене обходных решений.

Страница создана 2015-04-07 14:32Z-07:00.