Schannel是最新被發(fā)現(xiàn)存在SSL/TLS安全問(wèn)題的加密庫(kù)，本文中專家Michael Cobb介紹了這個(gè)WinShock漏洞以及企業(yè)應(yīng)該如何降低風(fēng)險(xiǎn)。

在過(guò)去一年中，SSL/TLS協(xié)議出于各種錯(cuò)誤的原因占據(jù)著新聞?lì)^條。

蘋果的SecureTransport、OpenSSL、GnuTLS和Mozilla的NSS等加密軟件庫(kù)中出現(xiàn)了各種漏洞和部署問(wèn)題，這讓供應(yīng)商和管理員都忙于解決這些潛在嚴(yán)重漏洞，以緩解對(duì)網(wǎng)絡(luò)、用戶及其數(shù)據(jù)的威脅。

其中微軟的Secure Channel或者說(shuō)Schannel是最新被發(fā)現(xiàn)容易受到攻擊的加密庫(kù)。

在本文中，筆者將詳細(xì)介紹Schannel中的WinShock漏洞、為什么它比其他SSL/TLS漏洞更嚴(yán)重以及緩解這種威脅的最佳方法。

Schannel和WinShock漏洞

Schannel是微軟的SSL/TLS協(xié)議部署，類似于OpenSSL在Linux系統(tǒng)中的使用。這個(gè)組件存在于所有微軟Windows平臺(tái)，并且大多數(shù)需要SSL/TLS加密和身份驗(yàn)證服務(wù)(例如IIS、Active Directory、OWA、Exchange、IE和Windows Update)的Windows軟件都在使用它。

在11月，微軟發(fā)布了安全公告MS14-066來(lái)解決Schannel中發(fā)現(xiàn)的漏洞，該漏洞被稱為WinShock(現(xiàn)在似乎每個(gè)嚴(yán)重漏洞都需要一個(gè)引人注目和令人震驚的名字)。

通過(guò)發(fā)送特制的網(wǎng)絡(luò)流量，遠(yuǎn)程攻擊者可以利用WinShock漏洞，在服務(wù)器或客戶端執(zhí)行任意代碼，從而允許攻擊者通過(guò)惡意軟件感染目標(biāo)。攻擊者還可以在不需要身份驗(yàn)證的情況下通過(guò)未請(qǐng)求的網(wǎng)絡(luò)流量來(lái)發(fā)動(dòng)攻擊，這正是該漏洞非常嚴(yán)重的原因。

修復(fù)WinShock

WinShock應(yīng)該盡快被修復(fù)。根據(jù)微軟表示，目前還沒(méi)有已知的緩解或解決辦法;它甚至可以繞過(guò)增強(qiáng)緩解體驗(yàn)工具包(EMET)。

在企業(yè)中，最易受攻擊的Windows設(shè)備是連接到互聯(lián)網(wǎng)(例如Web和郵件服務(wù)器)的設(shè)備，因此這些設(shè)備最應(yīng)該受到保護(hù)。其次，企業(yè)應(yīng)該專注于修復(fù)內(nèi)部服務(wù)器，然后是移動(dòng)設(shè)備，最后是內(nèi)部客戶端。

管理員應(yīng)該假設(shè)所有運(yùn)行Windows的設(shè)備都易受到攻擊，并使用資產(chǎn)注冊(cè)表來(lái)確保沒(méi)有遺漏設(shè)備，因?yàn)楣粽呖赡鼙O(jiān)聽(tīng)被遺忘的VPN、即時(shí)通訊和其他軟件來(lái)獲取入站SSL連接。企業(yè)應(yīng)確保更新網(wǎng)絡(luò)防御來(lái)檢測(cè)和阻止對(duì)該漏洞的利用;思科已經(jīng)為MS14-066發(fā)布了很多Snort規(guī)則。

WinShock的嚴(yán)重程度

對(duì)于WinShock漏洞的真正性質(zhì)存在一些混淆，例如它是如何被發(fā)現(xiàn)以及被誰(shuí)發(fā)現(xiàn)，CVE-2014-6321是否實(shí)際上涵蓋了Schannel中的多個(gè)漏洞等。

這個(gè)更新通過(guò)糾正Schannel審查特制數(shù)據(jù)包的方式解決該漏洞，同時(shí)，微軟還對(duì)現(xiàn)有TLS加密套件進(jìn)行了更改。雖然提供更強(qiáng)大的加密功能，但這些加密功能給運(yùn)行Server 2008 R2和Windows Server 2012的一些系統(tǒng)造成了問(wèn)題，因?yàn)門LS 1.2連接被撤銷，服務(wù)變得間歇性反應(yīng)遲鈍。

隨后微軟重新發(fā)布了MS14-066更新，新的TLS加密在默認(rèn)情況下未啟用。這次更新(編號(hào)3018238)將通過(guò)MS14-066的安全更新自動(dòng)安裝。如果系統(tǒng)已經(jīng)安裝了MS14-066更新，該更新將會(huì)重新提供以確保安裝新的加密更新。安裝這些新的更新將需要重新啟動(dòng)。

影響所有Windows服務(wù)器版本的任何遠(yuǎn)程代碼執(zhí)行漏洞都可能比Heartbleed更糟糕，這是因?yàn)槭苡绊懴到y(tǒng)的數(shù)量非常多。然而，與Heartbleed相比，WinShock似乎更難以被利用，更容易被修復(fù)，所以它應(yīng)該更容易被控制。

盡管微軟對(duì)WinShock的漏洞利用可能性標(biāo)記為“1”—這表明攻擊者可能很快會(huì)開(kāi)發(fā)出漏洞利用，但微軟估計(jì)攻擊者很難創(chuàng)建出可靠的漏洞利用。(微軟的補(bǔ)丁并不包括源代碼，但攻擊者將會(huì)進(jìn)行逆向工程來(lái)了解漏洞以開(kāi)發(fā)可行的攻擊)。

當(dāng)Heartbleed和POODLE漏洞為公眾所知時(shí)，它們的利用代碼已經(jīng)存在，并且漏洞利用的要求相對(duì)不高。這就是說(shuō)，它們都只是導(dǎo)致信息泄露，而不是遠(yuǎn)程代碼執(zhí)行。

現(xiàn)在的大問(wèn)題是，從目前的情形來(lái)看，WinShock是Windows XP和Windows 2000的永遠(yuǎn)漏洞，因?yàn)檫@些系統(tǒng)不再受微軟支持。這是企業(yè)從這些過(guò)時(shí)的操作系統(tǒng)升級(jí)的另一個(gè)強(qiáng)大的動(dòng)力。如果微軟不放寬政策，并為這些版本發(fā)布安全補(bǔ)丁，管理員將需要隔離和移除運(yùn)行這些操作系統(tǒng)的機(jī)器，它們都可能被利用且不可修復(fù)。

WinShock和Heartbleed等漏洞顯示了保持最新資產(chǎn)登記的重要性，這樣的話，當(dāng)發(fā)現(xiàn)關(guān)鍵漏洞時(shí)，管理員將知道哪些設(shè)備或軟件可能存在風(fēng)險(xiǎn)。這讓修復(fù)優(yōu)先排序更快和更容易，并且可以確保不會(huì)有設(shè)備或系統(tǒng)被遺漏。