三种Windows服务器SSL/TLS的安全漏洞以及其补救方法
2015-04-09 TechTarget中国 编辑:肖培庆
不久之前在Windows服务器上简单地使用SSL,或者其后继者TLS还都被认为是很安全的通信方式。但是现在时代变了,SSL和TLS已经名声败坏。在过去的几年里有许多值得你注意的严重安全漏洞被逐个曝光,有一些影响了Windows服务器,有一些却没有。以下列出了你需要知道的信息:
心脏出血漏洞(Heartbleed)是一个OpenSSL漏洞(OpenSSL经常运行在一些Windows服务器上),此漏洞会利用TLS的心跳扩展存在的缺陷,远程访问服务器内存和连接在服务器上的用户。
POODLE (Padding Oracle On Downgraded Legacy Encryption)是一种中间人攻击,SSL 3.0版本和TLS 1.0 到1.2版本会受到这个漏洞的影响。
FREAK(Factoring Attack on RSA-EXPORT Keys)是一个新的漏洞,可使攻击者强制对有漏洞的浏览器和服务器进行加密强度降级。
很多影响Windows服务器的SSL和TLS漏洞可以追溯到很多年前,这些漏洞有的影响SSL版本2,有的影响弱加密密码。有趣的是,根据我的安全评估经验,大部分Windows服务器都是存在至少一个漏洞的(很多时候是很多个)。而且这些服务器暴露在互联网上等着被攻破。
那么如何才能知道你的Windows服务器是否存在这些所谓的漏洞呢?很简单,只需要做以下这些事情:
用WSUS、MBSA或者第三方的补丁管理软件去检查没有打上的补丁(注意:仅仅打补丁并不会修补所有SSL/TLS的漏洞,例如心脏出血漏洞)。
使用Nexpose、GFI LanGuard或者网页版弱点扫描器(例如Netsparker或者Acunetix之类的弱点扫描软件)进行弱点扫描。
使用类似SSL LABS SSL Server Test和freakattack.com的网页去检查你现有的配置和弱点。
说了这么多关于SSL和TLS的危险性,其实真正的危险并不是因为数据是在(互联网)传输的,而是系统本身。如果你的Windows服务器运行的SSL和TLS版本存在已知的漏洞,那么你就是自找麻烦。想想如果这样会发生什么,最好的情况是你会在弱点评估或者审计中发现这些问题并按要求进行修复。。最坏的情况是有人利用心脏出血漏洞或者类似的漏洞让你的数据外泄。任何一种情形相信你都不会想遭遇。
最好处理Windows服务器的方法还是修复这些讨厌的安全问题,解决它们,但是不要仅仅停留在修复而已。你还必须保持警醒,这意味着在做安全检查和必需的维护时还得上点心以让系统更有弹性防止攻击,这不仅仅是对所有已知的风险,我们应该看得更远。