Microsoft, grave vulnerabilità relativa a TLS e SSL

Nelle ore in cui il patch day prendeva forma, Microsoft rilasciava anche un Security Advisory (977377) che merita la dovuta attenzione. Il gruppo ha segnalato infatti investigazioni in atto relativamente ad una vulnerabilità pubblica identificata nei protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL).

La gravità della scoperta è così descritta da Feliciano Intini sul NonSoloSecurity Blog: «In quanto il problema è relativo ad una specifica funzionalità di questi protocolli standard per Internet (in particolare è legata alla dinamica della renegotiation) purtroppo non è limitata ad esser presente solo nei prodotti Microsoft ed è oggetto di analisi da parte di tutti i vendor: si sta operando in modo coordinato con loro tramite l’Internet Consortium for Advancement of Security on the Internet (ICASI) per produrre una soluzione consistente».

Microsoft, insomma, notifica le ricerche in atto su tutti i prodotti utilizzanti il componente Secure Channel (Schannel), poiché potenzialmente vulnerabili, fermo restando il fatto che l’uso di Internet Information Services (IIS) 6.0 o successivi apre ad un fattore mitigante che sminuisce la portata del problema. Continua Intini: «Microsoft ha reso disponibile un workaround in attesa del rilascio di un aggiornamento correttivo: dal momento che la disabilitazione della rinegoziazione TLS/SSL può avere un impatto sulla funzionalità di qualche applicazione, è opportuno che si operi il test di queste opzioni prima di adottarle». Ulteriori dettagli sono nella fattispecie presenti nell’advisory rilasciato.

Tra i prodotti vulnerabili il gruppo annovera Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Le informazioni di wordkaround si limitano a consigliare la disattivazione delle renegotiation per TLS ed SSL sulle piattaforme indicate. La vulnerabilità non è in alcun modo ricollegata agli interventi del gruppo compresi nel patch day di Febbraio ed è pertanto da considerarsi ad ogni effetto aperta ad eventuali attacchi (di cui al momento non si segnala però alcuna attività).

Inoltre, «affinchè si riesca ad operare un attacco verso questa vulnerabilità (al momento non vi è notizia di alcun attacco) si deve prima riuscire a sfruttare un altra vulnerabilità che permetta un attacco di tipo man-in-the-middle, tipo local subnet attack o DNS spoofing». La portata del problema è però giocoforza elevata ed è presumibile un intervento quanto più solerte possibile per quantomeno ridurre l’esposizione dei prodotti del gruppo alla vulnerabilità segnalata. Vulnerabilità che, però, è da considerarsi generale e non esclusivamente propria della produzione di Redmond.