Contestualmente al consueto rilascio mensile di bollettini, Microsoft ha pubblicato anche il “Microsoft Security Advisory (977377) - Vulnerability in TLS/SSL Could Allow Spoofing” per segnalare la fase di investigazione su una vulnerabilità pubblica (CVE-2009-3555) relativa ai protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL).

In quanto problema è relativo ad una specifica funzionalità di questi protocolli standard per Internet (in particolare è legata alla dinamica della renegotiation) purtroppo non è limitata ad esser presente solo nei prodotti Microsoft ed è oggetto di analisi da parte di tutti i vendor: si sta operando in modo coordinato con loro tramite l’Internet Consortium for Advancement of Security on the Internet (ICASI) per produrre una soluzione consistente.

Per quanto riguarda i prodotti Microsoft si stanno analizzando tutti i prodotti, sia client che server, che usano il componente Secure Channel (Schannel), in quanto potenzialmente vulnerabili, ma è bene aver presente il seguente fattore mitigante:

Web servers running Internet Information Services (IIS) 6.0 or later in the default configuration are not affected by this vulnerability. IIS 6.0 or later servers are only affected when configured to require mutual authentication, which is an uncommon configuration.

Microsoft ha reso disponibile un workaround in attesa del rilascio di un aggiornamento correttivo: dal momento che la disabilitazione della rinegoziazione TLS/SSL può avere un impatto sulla funzionalità di qualche applicazione, è opportuno che si operi il test di queste opzioni prima di adottarle:

http://support.microsoft.com/kb/977377

Anche se ogni vulnerabilità che interessi protocolli così strutturali e importanti per la sicurezza dello scambio di informazioni su Internet va affrontata seriamente, credo sia importante sottolineare lo specifico impatto di questa vulnerabilità per non generare allarmismi: come si può leggere nell’advisory

In vulnerable deployments, an attacker could use this vulnerability to prepend content into a legitimate, client-initiated request to a server in the context of a valid TLS/SSL-authenticated session. This vulnerability does not allow the attacker to read, decrypt, or alter encrypted traffic between client and server.

Inoltre, affinche si riesca ad operare un attacco verso questa vulnerabilità (al momento non vi è notizia di alcun attacco) si deve prima riuscire a sfruttare un altra vulnerabilità che permetta un attacco di tipo man-in-the-middle, tipo local subnet attack o DNS spoofing.

Visto l’ampio impatto, credo si tornerà presto ad aggiornarvi su questo tema.

Feliciano

Altri post/risorse correlate: