آسیب پذیری SSL

آسیب پذیریاز كاراندازی سرویسدر كتابخانهSSL مایكروسافت وجود دارد. آسیب پذیری مربوط به نحوه اداره پیغامهای بدشكلSSL در كتابخانه مایكروسافتSSL می باشد. این آسیب پذیری ممكن است باعث شود كه سیستم آسیب دیده اتصالاتSSL دریافت شده بر روی ویندوز 2000 وXP را متوقف نماید. در ویندوز سرور 2003، آسیب پذیری ممكن است باعث شود كه سیستم آسیب دیده مجددا راه اندازی گردد.

توضیحاتی درباره آسیب پذیری SSL

محدوده آسیب پذیری چیست؟

آسیب پذیری ازكار اندازی سرویس در كتابخانهSSL مایكروسافت، بر روی نحوه اداره كتابخانهSSL مایكروسافت تاثیر می گذارد. این آسیب پذیری منجر به توقف اتصالاتSSL بر روی ماشینهای آسیب دیده، ویندوز 2000 وXP می گردد. سیستمهای آسیب دیده ویندوز سرور 2003 به طور اتوماتیك راه اندازی مجدد می گردند.

آسیب پذیری ازكار اندازی سرویس، مانع از اجرای كد یا افزایش اجازه های دسترسی حمله گر نمی شود، بلكه مانع از پذیرش تقاضاهای وارد شونده توسط سیستم آسیب دیده می شود.

چه چیزی باعث آسیب پذیری می شود؟

پردازه بكار رفته توسط كتابخانهSSL برای كنترل پیغامهای ورودی، باعث آسیب پذیری می شود.

كتابخانه SSL  از مایكروسافت چیست؟

كتابخانهSSL از مایكروسافت، از تعدادی از پروتكلهای ارتباطی امن پشتیبانی می نماید. این پروتكلها عبارتند از:(TLS 1.0) Transport Layer Security 1.0،Secure Socket Layer 3.0 (SSL 3.0)، نسخه قدیمی تر و كم كاربردترSecure Socket Layer 2.0 (SSL 2.0)، و پروتكلPrivate Communication Technology 1.0 (PCT 1.0).

این پروتكلها، ارتباط رمزنگاری شده ای را بین سیستم سرور و كاربر ایجاد می نمایند.SSLكمك به حفاظت از اطلاعات به هنگام اتصال كاربران در شبكه های عمومی مانند اینترنت می نماید. پشتیبانیSSL نیازمند گواهینامهSSL، كه باید بر روی سرور نصب شود، می باشد.

حمله گر چگونه از آسیب پذیری استفاده می نماید؟

در ویندوز 2000 وXP، حمله گری كه به طور موفقیت آمیزی از آسیب پذیری استفاده نموده است، می تواند باعث توقف اتصالاتSSL شود.در ویندوز سرور 2003، حمله گر ممكن است باعث شود كه سیستم آسیب دیده به طور اتوماتیك راه اندازی مجدد شود. در آن زمان، سیستم آسیب دیده به تقاضاهای تصدیق اصالت پاسخ نمی دهد. پس از راه اندازی مجدد سیستم، سیستم آسیب دیده با عملكرد خاصی بازیابی می گردد. به هرحال، این سیستم هنوز در معرض حمله ازكاراندازی سرویس می باشد، مگر اینكه بروزرسانیهایی اعمال گردد.

اگر حمله گری از این آسیب پذیری استفاده نماید، رویداد سیستمی خطا ثبت می شود. شماره رویداد (event ID) 5000 درlog رویداد سیستم ثبت می شود، و ارزشSymbolicName آن،“SPMEVENT_PACKAGE_FAULT” می باشد و شرح آن به صورت ذیل است:

"بسته امنیتیNAME استثنایی را ایجاد نموده است" كه در آنNAME ارزش "Schannel" یا "Microsoft Unified Secuirty Protocol Provider" می باشد.

چه كسی می تواند از آسیب پذیری استفاده نماید؟

هر كاربر بدون نامی كه بتواند پیغامSSL را به سیستم آسیب دیده ارسال نماید، می تواند از این آسیب پذیری استفاده كند.

حمله گر چگونه می تواند از آسیب پذیری استفاده نماید؟

حمله گر برای استفاده از این آسیب پذیری برنامه ای ایجاد می نماید، كه می تواند با سرور آسیب پذیر از طریق سرویس فعال شده باSSL ارتباط برقرار كندو پیغامTCP خاصی را ارسال نماید.سیستم آسیب پذیر در صورت دریافت چنین پیغامی، به نحوی شكست می خورد كه حمله ازكاراندازی سرویس روی می دهد.

حمله گر، همچنین می تواند به جزء آسیب دیده از طریق دیگری دسترسی پیدا كند. مثلا حمله گر می تواند بر روی سیستم آسیب پذیر به طور محاوره ای یا به كمك برنامه دیگری كه پارامترها را به جزء آسیب پذیر می فرستد،Login نماید(به طور محلی و یا از راه دور).

چه سیستمهایی در معرض این آسیب پذیری می باشند؟

همه سیستمهایی كهSSL را فعال نموده اند، در معرض آسیب پذیری می باشند.اگرچهSSL بهIIS به كمكHTTPS و پورت 443 دسترسی پیدا می كند، هر سرویسی كهSSL را بر روی بستر آسیب دیده پیاده سازی می نماید، در معرض آن می باشد. سیستمهایIIS 4.0،IIS 5.0،IIS 5.1،Exchange Server 5.5،Exchange Server 2000،Exchange Server 2003،Analysis Services 2000 و هر برنامه ای كه ازSSL استفاده می نماید، از این نوع است.

كنترل كننده دامنه ویندوز 2000 كه بر روی دامنه دایركتوری فعال نصب می باشند، وEnterprise Root Certification Authority بر روی آن نصب می باشد، نیز در معرض آن می باشند.

Vulnerability Identifiers Impact of Vulnerability Windows 98, 98 SE, ME Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003

SSL Vulnerability

Denial Of Service

None

None

Important

Important

Important

تخفیف عوامل در آسیب پذیری SSL

تنها سیستمهایی كهSSL را فعال نموده اند، فقط سیستمهای سرور، در معرض آن می باشند. به هر حالSSL به طور عمومی بر روی وب سرورها بكار می رود تا از برنامه های تجارت الكترونیكی، بانكداریonline، و سایر برنامه هایی كه نیاز به اتصال امن دارند، پشتیبانی نماید.بهترین تمرینات برای دیوار آتش، و پیكربندی پیش فرض استاندارد برای دیوار آتش، از شبكه ها در برابر حملات نشات گرفته از خارج از آنها محافظت می نماید.ویندوزNT 4.0 ، در معرض این آسیب پذیری نمی باشد.

كارهایی كه می توان برای آسیب پذیری SSL انجام داد؟

مایكروسافت راه حلهای ذیل را توصیه نموده است. اگر چه توصیه های ذیل، آسیب پذیریها را اصلاح نمی نمایند، بردارهای شناخته شده حملات را بلوكه می كنند.

پورتهای 443 و 636 را در دیوار آتش بلوكه نمایید. پورت 443 برا دریافت ترافیكSSL بكار می رود. پورت 636 برای دریافت اتصالاتLDAP SSL(LDAPS) استفاده می شود. بلوكه كردن آنها در دیوار آتش، به سیستمهایی كه در پشت دیوار آتش می باشند، كمك می كند تا از این آسیب پذیری در امان باشند. به هرحال پورتهایی كه در ذیل آمده اند، بیشترین بردارهای حمله می باشند. مایكروسافت توصیه می كند كه همه اتصالات ورودی از اینترنت را بلوكه نماید تا مانع از استفاده حملات از سایر پورتها گردد.

تاثیر راهكار فوق:اگر پورت 443 یا 636 بلوكه گردند، سیستمهای آسیب دیده دیگر نمی توانند اتصالات خارجیSSL یاLDAPS را دریافت نمایند.

برگرفته از amn.itrc.ac.ir