Kritická chyba v Schannel - poslední SSL/TLS pevnost dobyta

19. 11. 2014 | Jindřich Zechmeister

Rok 2014 se nese ve znamení kompromitací všech oblíbených šifrovacích knihoven na všech platformách. Celkově byly letos objeveny zranitelnosti v Apple Secure Transport, GNUTLS, OpenSSL, Mozilla NSS a aktuálně i v Microsoft SChannel. Na poslední z nich se podíváme detailněji.

Schannel = OpenSSL pro Windows

Schannel je knihovna pro SSL/TLS šifrování, čili obdoba známé knihovny OpenSSL na Windows. OpenSSL jistě znáte především díky dubnové zranitelnosti Heartbleed, o které jsme v magazínu psali v článku . Po oznámení této zranitelnosti ve starších verzích OpenSSL muselo dojít k hromadnému znovuvydání certifikátů (reissue), jelikož jejich privátní klíč mohl být kompromitován. Správci "Microsoftích" serverů nebyli zranitelností Heartbleed dotčeni a nemuseli tyto opatření provádět.

Zranitelnost Schannel se týká všech verzí Windows

Ani správci Windows serverů neprožijí tento kalendářní rok zcela v klidu, protože nové objevená zranitelnost v knihovně Schannel se dotýká prakticky všech verzí Windows serverů, ale i běžných desktopových PC. Zranitelnost dostala přezdívku Winshock. Na rozdíl od Heartbleed zde není riziko kompromitace certifikátu, ale mnohem horší průnik do systému právě přes knihovnu Schannel a spuštění vzdáleného kódu. Stručné informace o zranitelnosti najdete přímo na webu Microsoftu v bulletinu Microsoft Security Bulletin MS14-066.

Microsoft tvrdí, že zatím neví o praktickém zneužití této zranitelnosti. Očekává však, že hackeři reverzním inženýrstvím odhalí detaily nezveřejněné chyby, a začnou ji aktivně zneužívat. To může být do týdne od vydání opravy, a pak se tato zranitelnost může stát větším problémem, než Heartbleed.

Pozor na Windows XP

Opravena byla i další zranitelnost Windows OLE (MS14-064), která je stará už 19 let. Je tedy přítomna v již nepodporovaných produktech a operačních systémech. Nenechte se zmýlit tím, že Microsoft nevydává opravy pro starší systémy. Například Windows XP jsou zranitelné, ale jejich podpora skončila, a další updaty nebudou. Není proto dobrý nápad je používat pro přístup na internet.

Jak zranitelnost opravit?

Microsoft už vydal aktualizaci , kterou musí nainstalovat všichni uživatelé Windows, nejen správci Windows Serverů. Zapněte tedy Windows Update na svém PC a nainstalujte poslední aktualizace. Pokud používáte Windows XP, přejděte na novější systém.

Doufejme, že po bouřlivém roce 2014 budou tvůrci softwaru pozornější, a jejich šifrovací knihovny budou opět (alespoň chvíli) důvěryhodné.

P.S. Projděte si seznam všech letošních Security Bulletins 2014 - kritických chyb není u MS rozhodně málo.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz