Microsoft Secure Channel

Con l’aggiornamento del patch tuesday di questo mese Microsoft corregge un problema di sicurezza molto serio di Secure Channel (Schannel), la sua libreria per la connessione sicura.

Schannel è per Microsoft quello che per l’open source si chiama OpenSSL e per Apple si chiama Secure Transport. In sostanza è quella serie di routine (libreria) che permette di stabilire connessioni sicure in HTTPS o TLS. Con l’annuncio della vulnerabilità di Schannel si può affermare che quest’anno ciascuna delle maggiori librerie HTTPS/TLS ha avuto dei problemi, con buona pace di chi crede di essere al sicuro per il fatto stesso di utilizzare una piattaforma piuttosto che un’altra.

Schannel è utilizzato dai client e dai server che stabiliscono o accettano connessioni sicure utilizzando le funzioni di sistema di Microsoft.

La vulnerabilità segnalata e corretta da Microsoft permette di eseguire codice arbitrario da remoto. In altre parole, un attaccante potrebbe eseguire dei programmi che vuole lui su un computer che utilizza Scannel per collegarsi ad un altro computer. I primi (ma non di certo gli unici) membri di questo insieme sono tutti i Windows che hanno un Internet Information Server esposto a Internet con HTTPS abilitato. A titolo di pro memoria, Exchange Server utilizza HTTPS per far connettere i client mobili.

Secondo quanto riportato da Ars Technica, qualsiasi porta di un sistema Windwos aperta su Internet potrebbe essere soggetta ad un attacco, anche se non utilizza TLS.

Secondo le stime di ISC, la scoperta di un metodo per sfruttare questo baco (exploit) potrebbe richiedere una settimana circa, il che significa che le installazioni di Windows dovrebbero essere aggiornate entro il prossimo fine settimana. Val la pena di ricordare che dopo sole 12 ore dalla pubblicazione della notizia heartbleed è stato sfruttato per attaccare Yahoo!

L’aggiornamento di Schannel porta con sé anche quattro nuovi algoritmi di cifratura: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384 e TLS_RSA_WITH_AES_128_GCM_SHA256. Come si può notare, i primi due implementano la perfect forward secrecy e almeno questa è una buona notizia.

Aggiornamento 17/11/2014 – Gli algoritmi che sono stati aggiunti in alcuni casi specifici potrebbero causare rallentamenti o blocchi nelle connessioni. Microsoft ha aggiornato l’articolo relativo alla patch MS14-066 per spiegare come disabilitare gli algoritmi che danno problemi.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento