SSL/TLS安全:Schannel中WinShock漏洞及解决办法

Schannel是最新被发现存在SSL/TLS安全问题的加密库,在过去一年中SSL/TLS协议出于各种错误的塬因占据着新闻头条。苹果的SecureTransport、OpenSSL、GnuTLS和Mozilla的NSS等加密软件库中出现了各种漏洞和部署问题,这让供应商和管理员都忙于解决这些潜在严重漏洞,以缓解对网络、用户及其数据的威胁。

  其中微软的Secure Channel或者说Schannel是最新被发现容易受到攻击的加密库。

  【Schannel和WinShock漏洞】

  Schannel是微软的SSL/TLS协议部署,类似于OpenSSL在Linux系统中的使用。这个组件存在于所有微软Windows平台,并且大多数需要SSL/TLS加密和身份验证服务(例如IIS、Active Directory、OWA、Exchange、IE和Windows Update)的Windows软件都在使用它。

  在去年11月,微软发布了安全公告MS14-066来解决Schannel中发现的漏洞,该漏洞被称为WinShock。通过发送特制的网络流量,远程攻击者可以利用WinShock漏洞,在服务器或客户端执行任意代码,从而允许攻击者通过恶意软件感染目标。攻击者还可以在不需要身份验证的情况下通过未请求的网络流量来发动攻击,这正是该漏洞非常严重的塬因。

  【关于WinShock漏洞修复】

  WinShock漏洞应该尽快被修复。根据微软表示,目前还没有已知的缓解或解决办法;它甚至可以绕过增强缓解体验工具包(EMET)。

  在企业中,最易受攻击的Windows设备是连接到互联网(例如Web和邮件服务器)的设备,因此这些设备最应该受到保护。其次,企业应该专注于修复内部服务器,然后是移动设备,最后是内部客户端。

  管理员应该假设所有运行Windows的设备都易受到攻击,并使用资产注册表来确保没有遗漏设备,因为攻击者可能监听被遗忘的VPN、即时通讯和其他软件来获取入站SSL连接。企业应确保更新网络防御来检测和阻止对该漏洞的利用;思科已经为MS14-066发布了很多Snort规则。

  【WinShock漏洞严重性】

  对于WinShock漏洞的真正性质存在一些混淆,例如它是如何被发现以及被谁发现,CVE-2014-6321是否实际上涵盖了Schannel中的多个漏洞等。这个更新通过纠正Schannel审查特制数据包的方式解决该漏洞,同时,微软还对现有TLS加密套件进行了更改。虽然提供更强大的加密功能,但这些加密功能给运行Server 2008 R2和Windows Server 2012的一些系统造成了问题,因为TLS 1.2连接被撤销,服务变得间歇性反应迟钝。

  随后微软重新发布了MS14-066更新,新的TLS加密在默认情况下未启用。这次更新(编号3018238)将通过MS14-066的安全更新自动安装。如果系统已经安装了MS14-066更新,该更新将会重新提供以确保安装新的加密更新。安装这些新的更新将需要重新启动。

  影响所有Windows服务器版本的任何远程代码执行漏洞都可能比Heartbleed(Heartbleed相关信息http://www.evssl.cn/ev-ssl-news1/78.html)更糟糕,这是因为受影响系统的数量非常多。然而,与Heartbleed相比,WinShock似乎更难以被利用,更容易被修复,所以它应该更容易被控制。

  尽管微软对WinShock的漏洞利用可能性标记为“1”—这表明攻击者可能很快会开发出漏洞利用,但微软估计攻击者很难创建出可靠的漏洞利用。(微软的补丁并不包括源代码,但攻击者将会进行逆向工程来了解漏洞以开发可行的攻击)。

  当Heartbleed和POODLE漏洞(如何修复SSL POODLE漏洞请参考http://www.evssl.cn/ev-ssl-ask/170.html)为公众所知时,它们的利用代码已经存在,并且漏洞利用的要求相对不高。这就是说,它们都只是导致信息泄露,而不是远程代码执行。

  现在的大问题是,从目前的情形来看,WinShock是Windows XP和Windows 2000的永远漏洞,因为这些系统不再受微软支持。这是企业从这些过时的操作系统升级的另一个强大的动力。如果微软不放宽政策,并为这些版本发布安全补丁,管理员将需要隔离和移除运行这些操作系统的机器,它们都可能被利用且不可修复。

  WinShock和Heartbleed等漏洞显示了保持最新资产登记的重要性,这样的话,当发现关键漏洞时,管理员将知道哪些设备或软件可能存在风险。这让修复优先排序更快和更容易,并且可以确保不会有设备或系统被遗漏。

时间: 2024-10-05 04:44:52

SSL/TLS安全:Schannel中WinShock漏洞及解决办法的相关文章

WCF中的错误及解决办法

一 .    HTTP 无法注册 URL http://+:8000/Users/.进程不具有此命名空间的访问权限今天按照网上的例子开始学习WCF程序,运行的时候却发现出如下问题:HTTP 无法注册 URL http://+:8000/Users/.进程不具有此命名空间的访问权限. 遇到这种问题,先不要慌,看一下错误内容:进程不具备此命名空间的访问权限,说明是访问权限的问题,所以我试着以管理员的身份重新打开了VS,结果就没报这个错 WCF中的错误及解决办法,布布扣,bubuko.com

linux中tomcat内存溢出解决办法

用命令 tail -f /root/apache-tomcat-6.0.20/logs/catalina.out(需要找到tomcat路径) 查看日志,查看是否有错误 linux中tomcat内存溢出解决办法 常见的一般会有下面三种情况:1.OutOfMemoryError: Java heap space2.OutOfMemoryError: PermGen space3.OutOfMemoryError: unable to create new native thread.前两种通常一起进

Windows编程中char*转LPCWSTR解决办法总结

Windows编程中经常涉及到的一个问题是字符串之间的转换,开发过程总是遇到编译器提示无法格式转换的问题,于是自己总结了几种解决办法. 1.通过T2W转换宏 char* szStr = "balabala"; CString str = CString(szStr); USES_CONVERSION; LPCWSTR wszClassName = new WCHAR[str.GetLength()+1]; wcscpy((LPTSTR)wszClassName,T2W((LPTSTR)

关于Qt中 中文显示的解决办法

关于Qt中 中文显示的解决办法 在linux平台下,这样显示中文 QLabel *label = new QLabel; QTextCodec *codec = QTextCodec::codecForName("UTF-8"); label->setText(codec->toUnicode("<center><h1>你好</h1></center>"));  label->setWindowTit

&.nbsp;在IE和谷歌浏览器中不兼容的解决办法

直接在html文档中使用 来表示空格,在不同浏览器中的占位大小是不一样的. 为什么呢,因为不同浏览器默认的字体是不一样的,不同字体下的空格表示 占位大小不一致. 这就好办了嘛,我们对 指定使用同样的字体就能让 显示同样的占位了. 经过测试,当指定Times New Roman字体时,各浏览器都支持良好,每4个 显示的占位是一个汉字字符,而使用宋体或黑体则不能达到目的. <span style="font-family:'Times New Roman';">    <

利用反射将IDataReader读取到实体类中效率低下的解决办法

原文:利用反射将IDataReader读取到实体类中效率低下的解决办法 最开始使用反射一个类型的各个属性,对气进行赋值的代码如下: public static List<T> ToList<T>(IDataReader reader) { //实例化一个List<>泛型集合 List<T> DataList = new List<T>(); PropertyInfo[] properties = typeof(T).GetProperties()

ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法

ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法: 1.首先打开cmd命令 查看本地TNSPING配置 是否ok?然后找到 Oracle 安装文件 中 listener.ora文件与tnsnames.ora文件:  路径:E:\app\当前系统的账户名\product\11.2.0\dbhome_1\NETWORK\ADMIN 有下图所示就表示 TNSPING配置 是ok的 ? “orcl 是tnsnames.ora文件下面图中所示” ? 2.查看网络连接  tel

Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法

1. 前言 为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能.通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷. 2.问题描述 在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用:但 Windows server 2012默认是开启的,且有默认的CA证书.由于SSL/ TLS

[055] SSL 3.0曝出Poodle漏洞的解决方式-----开发人员篇

SSL 3.0曝出高危漏洞 2014年10月15日,Google研究人员发布SSL 3.0协议存在一个非常严重的漏洞,该漏洞可被黑客用于截取浏览器与server之间进行传输的加密数据,如网银账号.邮箱账号.个人隐私等等.SSL 3.0的漏洞同意攻击者发起降级攻击,即欺骗浏览器说"server不支持更安全的安全传输层(TLS)协议",然后强制其转向使用SSL 3.0,在强制浏览器採用SSL 3.0与server进行通讯之后,黑客就能够利用中间人攻击来解密HTTPs的cookies,Goo