Microsoft waarschuwt voor SSL-lek in Windows
Microsoft heeft een tijdelijke oplossing online gezet voor een probleem in SSL 3.0 en TLS 1.0. Via de kwetsbaarheid kunnen aanvallers de versleutelde HTTPS-sessie van een gebruiker kapen. Hiervoor moet wel eerst een man-in-the-middle-aanval worden uitgevoerd. De aanval werd afgelopen vrijdag tijdens een hackerconferentie gedemonstreerd.
Volgens Microsoft gaat het om een industriebreed probleem dat het gehele internet-ecosysteem treft, en niet alleen een probleem voor Windows is. Op dit moment zijn er nog geen aanvallen in het wild gesignaleerd, daarnaast zouden gebruikers een zeer klein risico lopen. Om de kwetsbaarheid te misbruiken, moet het slachtoffer al een actieve HTTPS-sessie hebben opgezet, waar de aanvaller vervolgens kwaadaardige code aan moet toevoegen, die weer in de browsersessie van het slachtoffer draait.
Oplossing
Vanwege de opzet van de aanval, moet een aanvaller over de nodige bandbreedte beschikken. TLS 1.1 en 1.2 zijn niet kwetsbaar voor de aanval, aldus Jerry Bryant van de Trustworthy Computing Group. Security Advisory 2588513 bevat een 'workaround' om het probleem te verhelpen. Het gaat dan onder andere om het inschakelen van TLS 1.1.
Ook adviseert de softwaregigant Windows-gebruikers om geen HTTP en HTTPS websites op hetzelfde moment te bezoeken. Om TLS 1.1 voor Internet Explorer en anderer WinINET-gebaseerde applicaties op Windows 7 en Windows Server in te schakelen, heeft Microsoft ook een Fix-it oplossing online gezet.
Dat doe/doen je/jullie vaker, het verwijderen van een reactie en er dan je/jullie eigen reactie voor in de plaats zetten, zoals hierboven met de reactie van Dennixx.
In geval van een reactie die 'niet OK' is spreekt voor zich dat die verwijderd kan worden, maar mijn eigen ervaring is dat het ook gedaan wordt met sommige waardevolle suggesties of opmerkingen betreffende de nieuwsbijdragen van de redactie. En dat vind ik jammer, want mijns inziens zouden ook de andere gebruikers een ingebrachte suggestie of opmerking moeten kunnen lezen. Ikzelf ben nu benieuwd wat Dennixx bijdrage was.
Waarom niet de reactie van een gebruiker laten staan, en er een reactie van admin/redactie onder zetten?
[admin] Als het om een suggestie of bijdrage gaat laten we die gewoon staan. In dit geval ging het om een typo die nu is aangepast [/admin]
Ha, dankjewel, admin,
nieuwsgierig Spiffje is ook weer tevreden nu die weet dat het slechts een typo betrof ;-)
Maar wat betreft het laten staan van suggesties/bijdragen/correcties bij een nieuwsartikel, mijn ervaring is dat die soms toch wat te gemakkelijk worden verwijderd. Zo gaf ik eens een keer bij een artikel aan dat er een fout in stond, waarna mijn reactie werd overschreven door de admin terwijl de fout in het artikel niet goed werd hersteld, zodat ik vervolgens moest aangeven dat er nog steeds een fout in dat artikel stond.
Waarom dat soort bijdragen niet simpelweg laten staan, met een aantekening van de admin erbij dat de fout is hersteld?
houd wel rekening met het volgende:
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx
Why TLS 1.1 is not enabled by default?
The main reason to not enable TLS 1.1 by default is due to compatibility problems.
We need more servers to implement HTTPS protocols correctly so we can enable TLS 1.1 by default in the client in the future versions of IE. We will work hard to drive adoption of TLS 1.1 or TLS 1.2 as an industry-wide effort.
-->
http://blogs.msdn.com/b/ieinternals/archive/2011/03/25/misbehaving-https-servers-impair-tls-1.1-and-tls-1.2.aspx
Maar vervelend is dat die compatibiliteitsproblemen (die ik 13:20 vermeldde) niet worden genoemd in
http://support.microsoft.com/kb/2588513
en http://technet.microsoft.com/en-us/security/advisory/2588513
maar slechts in de eerder vermelde
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx
verwijzend naar http://blogs.msdn.com/b/ieinternals/archive/2011/03/25/misbehaving-https-servers-impair-tls-1.1-and-tls-1.2.aspx
Ik vind het ten minste slordig dat die compatibiliteitsproblemen niet op de support-pagina bij de Fix it worden vermeld en eveneens niet op de advisory-pagina bij de workaround.
De blog-pagina's zullen wellicht niet door iedereen worden opgemerkt en daarmee ook niet die waarschuwing voor compatibiliteitsproblemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
