DROWN udsætter et gammelt sår på HTTPS hjemmesider

En tredjedel af computere, der bruger HTTPS-protokollen, er sårbare over for DROWN-angrebet, siger forskere

En sårbarhed, der er til stede i 33 procent af alle HTTPS-servere, udsætter tusindvis af websteder til såkaldt DROWN angreb, så hackere dekrypterer sikre kommunikations- og adgangskoder, e-mails og kreditkortoplysninger.

DROWN står for 'dekryptere RSA med forældet og svækket kryptering', og det udnytter servere, der understøtter SSLv2-forbindelser, ifølge universitetsforskerne, der afdækkede fejlen.

Mens moderne servere og klienter bruger TLS-krypteringsprotokollen, understøtter mange stadig SSLv2, som er kendt for at være usikker, men er ikke blevet betragtet som et stort problem indtil nu.

Alle servere, der tillader SSLv2-forbindelser, er i fare fra DROWN, ligesom servere, hvis private nøgler bruges på en anden server, der tillader SSLv2-forbindelser.

Populære sites berørt af sårbarheden omfatter Yahoo, Weibo og Buzzfeed, cybersecurity forskere fra universiteter i USA, Israel og Tyskland hævder, men mail servere og TLS-afhængige tjenester er også i fare.

Forskerne, som også omfatter et medlem af Googles sikkerhedsteam, opfordrede operatører af sådanne servere til at anvende en løsning på fejlen.

De sagde: "Vi har ingen grund til at tro, at DROWN er blevet udnyttet i naturen forud for denne oplysning. Da detaljerne i sårbarheden nu er offentlige, kan angriberne begynde at udnytte den til enhver tid. "

Sårbarheden er delvis ned til de amerikanske regeringers begrænsninger af stærk kryptografi inden de sene 1990'er, siger forskerne, hvilket betyder, at denne svagere kryptografi stadig understøttes af forskellige servere i dag.

"Selvom disse begrænsninger, der tilsyneladende var designet til at gøre det nemmere for NSA at dekryptere kommunikationen af ​​personer i udlandet, afslappet næsten 20 år siden, forbliver den svækkede kryptering i protokollens specifikationer og fortsætter med at være støtte fra mange servere i dag og tilføjer kompleksitet - og Potentialet for katastrofalt svigt - til nogle af internetets vigtigste sikkerhedsfunktioner, "tilføjede de.

Rapporten blev udviklet af forskere fra Tel Aviv University, Munster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, Hascat projektet, University of Michigan, Two Sigma, Google og OpenSSL projektet.

De har ikke afsløret koden bag deres teori, idet det siges at for mange servere kunne blive åben for angreb, hvis de gjorde det.

Tod Beardsley, sikkerhedsforskningschef hos Rapid 7, sagde: "Åbneren behøver ikke at have en privilegeret position på netværket for at aflytte på en TLS-session og skal også allerede have gennemført en rekognoscering på server-sideinfrastrukturen , men det er karakteren af ​​polstring af orakelangreb.

"Selvom det ikke er det heartbleed-bugDROWN-teknikker viser de svagheder, der er forbundet med tidligere kryptografiske standarder. Sysadmins bør sikre, at alle deres kryptografiske tjenester virkelig har deaktiveret den gamle og dybt fejlbehæftede SSLv2-protokol og overveje omkostningerne og indsatsen forbundet med at levere unikke private nøgler til deres individuelle servere. "

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.