Microsoft ogłosił wczoraj, że wszystkie wersje jego systemów są narażone na atak FREAK. Znacząco zwiększa to liczbę użytkowników, których dotyczy problem.

Liczba narażonych użytkowników rośnie

Trzy dni temu świat obiegła wiadomości o nowym rodzaju ataku na który podatne są niektóre implementacje protokołu SSL/TLS. Do tej pory wiedzieliśmy, że na atak FREAK podatny jest OpenSSL z którego korzysta m.in. Android Browser oraz produkty firmy Apple. Od wczoraj wiemy,  że do tego grona dołącza Microsoft ze wszystkim dektopowymi i serwerowymi wersjami systemu operacyjnego Windows.

Jeżeli chcesz sprawdzić czy Twój Internet Explorer jest podatny na atak wystarczy, że za jego pomocą przejdziesz pod ten adres.

Warto pamiętać, że podatność samego klienta (przeglądarki) nie pozwala na przeprowadzenie skutecznego ataku. Do tego wymagane jest jeszcze m.in. odnalezienie podatnego serwera, możliwość podsłuchania ruchu sieciowego pomiędzy przeglądarką a serwerem oraz środowisko, które pozwoli na obliczenie 512 bitowego klucza prywatnego wyłączenie na podstawie klucza publicznego. Spełnienie tych warunków, jak się okazuje, nie jest tak trudne jak mogłoby się początkowo wydawać.

Tymczasowy sposób rozwiązania problemu – instrukcja

Microsoft nie określił kiedy udostępni poprawkę. Wskazał jedynie sposób tymczasowego obejścia problemu poprzez usunięcie wszystkich zestawów szyfrów, które w procesie nawiązywania połączenia SSL/TLS do wymiany kluczy wykorzystują algorytm RSA. Sposób ten działa w systemach Windows Vista i nowszych, a żeby go aktywować należy kolejno:

1. W menu Start, w polu wyszukaj/uruchom wpisać gpedit.msc. Polecenie uruchamia Edytor Lokalnych Zasad Grupy.
2. Rozwinąć kolejno: Konfiguracja komputera — Szablony Administracyjne — Sieć — Ustawienia konfiguracyjne protokołu SSL.
3. W oknie po prawej stronie kliknąć w Kolejność użycia mechanizmów szyfrowania.
4. W wąskim oknie zjechać na sam dół. Tam znajduje się dalsza instrukcja postępowania, którą opisuję w kolejnych punktach.
5. Do notatnika należy przekleić zestaw szyfrów wskazanych przez Microsoft:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Należy pamiętać o dodaniu przecinka po każdym zestawie oprócz ostatniego. Wszystkie zestawy szyfrów trzeba zapisać w jednej linii, bez żadnych spacji.

6. Kliknąć prawym przyciskiem myszy w Kolejność użycia mechanizmów szyfrowania i wybrać Edycja.
7. W otwartym oknie wybrać opcję Włączone.
8. Wkleić przygotowany wcześniej zestaw szyfrów w sekcji Opcje — Mechanizmy szyfrowania SSL. Na wszelki wypadek warto wcześniej zrobić kopię zapasową wpisu, który znajdował się tam do tej pory.
9. Zatwierdzić zmiany klikając Zastosuj, zamknąć okno Edytora Lokalnych Zasad Grupy i zrestartować komputer.

Zmiana konfiguracji SSL/TLS poprzez GPedit

Od tej pory Twoja Internet Explorer nie będzie podatna na atak FREAK. Po restarcie komputera możesz sprawdzić to na, wskazanej już wcześniej, stronie.