Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012.

Pensou-se que os sistemas Windows a não seriam afetados, mas a Microsoft revelou agora que todas as versões do seu sistema operacional estão em risco.
“Nossa investigação verificou que a vulnerabilidade pode permitir que um invasor forçe um downgrade das chaves RSA usadas na conexão SSL/TLS do sistema Windows”, disse a Microsoft em uma página web sobre a falha.
Além da interceção das comunicações e de passwords, a vulnerabilidade Freak pode ser usada para alterar as páginas de um site. A ZDnet refere ainda que o uso forçado de versões de encriptação antigas afeta soluções RSA entre os 40 bits e os 512 bits. Milhões de sites estarão vulneráveis a esta falha – entre eles, os da Casa Branca, NSA e FBI.
João Miguel Neves, perito em tecnologias radicado no Reino Unido, não perdeu a oportunidade e fez fez um teste simples com alguns sites bancários, à semelhança do que já tinha feito quando se conheceu a vulnerabilidade batizada de Poodle.
A Microsoft disse que ainda não recebeu informações que sugira que todos os clientes tinham sido afetados pela vulnerabilidade Freak. A microsoft também publicou uma sugeridas, incluindo desativação e troca de chaves RSA
A vulnerabilidade Freak SSL/TLS descoberto por pesquisadores que descobriram que era possível decifrar os protocolos de criptografia HTTPS usados entre sites e navegadores em dispositivos da Apple e Android.
O nome da vulnerabilidade Freak vem de (Factoring attack on RSA-Export Keys) e informações no site freakattack.com website
criado especificamente explica que ele funciona, forçando um navegador do dispositivo móvel para usar, um padrão mais antigo de criptografia facilmente quebrável.

A vulnerabilidade Freak SSL/TLS permite que atacantes para interceptar as conexões HTTPS entre clientes e servidores vulneráveis e os force a usar a criptografia export-grade, que pode ser facilmente decifrada ou alterado
“Os dispositivos expostos a vulnerabilidade freak incluem muitos dispositivos do Google e da Apple (que usam OpenSSL sem a correção), e muitos outros produtos de software que usam TLS sem desabilitar as chaves recomendadas pela microsoft que possuem as criptografia vulneráveis.”
A vulnerabilidade Freak SSL/TLS foi descoberta por uma equipe de pesquisadores da SmackTLS.com, que explicou que o problema existe por causa da ex-política do governo dos EUA sobre tecnologias de criptografia.
Como o nome indica, esta classe de algoritmos foi introduzido sob a pressão de agências norte-americanas para garantir que a Agência de Segurança Nacional – NSA seria capaz de decifrar toda a comunicação criptografada estrangeira, enquanto que os algoritmos mais fortes foram proibidos pois eles foram classificados como armas de guerra “.
A história da vulnerabilidade Freak começou a ser escrita no início dos anos 1990, quando a NSA incentivou a Netscape a usar criptografias de 40 e 128 bits. A intenção era boa – mas acabou por produzir efeitos indesejados passados mais de 20 anos. No ano 2000, os browsers adotaram criptografias mais robustas. O que também pode ser encarado como uma decisão cheia de boas intenções. Só que o inferno está cheio de boas intenções – e de criptografias obsoletas. Nos últimos 15 anos, foram sendo adicionadas criptografias mais robustas, mas aquelas que eram usadas nos anos 1990 mantiveram-se disponíveis para quem as quisesse ativar. Hoje há milhões de sites que continuam a aceitá-la. E mais: todas versões do Windows também estão vulneráveis, confirmou a Microsoft.
Inúmeros sites conceituados são afetados pela falha, como americanexpress.com, groupon.com e whitehouse.gov. Além de boa parte dos sites que estão no topo do ranking Alexa.
A V3 contactou a Apple e Google para comentar sobre a falha, mas não recebeu qualquer resposta até o momento.
O pesquisador da F-Secure Sean Sullivan disse ao V3 que a descoberta sublinhou os riscos de tentar controlar tecnologias como criptografia, algo que David Cameron tem feito muito barulho no Reino Unido.
“Na década de 1990 houve a ideia de que eles poderiam controlar criptografia e código como se fosse uma coisa tangível e proibir a sua exportação. Aqui estamos 20 anos depois e você pode ver como esse ideal saiu pela culatra “, disse ele.
“Cameron está fazendo este mesmo ponto de hoje, mas a nossa dependência de criptografia só está a aumentar e, se você tentar introduzir alguma norma” para enfraquecer as criptografias “é certeza que uma hora isso se volte para você.”
Sullivan acrescentou que o risco para os usuários da Internet devido a vulnerabilidade Freak é muito teórica, o invasor precisa ter acesso ao servidor de um site e em seguida, forçar um dispositivo para aceitar o padrão mais antigo.
Fonte: Dan Worth – V3.co.uk
Todos os direitos reservados a Suporte Ninja
Blog do Suporte Ninja: Blog Suporte Ninja

Pensou-se que os sistemas Windows a não seriam afetados, mas a Microsoft revelou agora que todas as versões do seu sistema operacional estão em risco.
“Nossa investigação verificou que a vulnerabilidade pode permitir que um invasor forçe um downgrade das chaves RSA usadas na conexão SSL/TLS do sistema Windows”, disse a Microsoft em uma página web sobre a falha.
Além da interceção das comunicações e de passwords, a vulnerabilidade Freak pode ser usada para alterar as páginas de um site. A ZDnet refere ainda que o uso forçado de versões de encriptação antigas afeta soluções RSA entre os 40 bits e os 512 bits. Milhões de sites estarão vulneráveis a esta falha – entre eles, os da Casa Branca, NSA e FBI.
João Miguel Neves, perito em tecnologias radicado no Reino Unido, não perdeu a oportunidade e fez fez um teste simples com alguns sites bancários, à semelhança do que já tinha feito quando se conheceu a vulnerabilidade batizada de Poodle.
A Microsoft disse que ainda não tem conhecimento se a vulnerabilidade Freak afetou algum de seus clientes
A Microsoft disse que ainda não recebeu informações que sugira que todos os clientes tinham sido afetados pela vulnerabilidade Freak. A microsoft também publicou uma sugeridas, incluindo desativação e troca de chaves RSA
Como a sugestão de correção da Microsoft são um pouco complexas e devido ao grande trabalho de fazer esta correção em “muitos” PCs, se os leitores do Suporte Ninja fizerem muita pressão o Suporte Ninja vai desenvolver um script para efetuar as correções sugeridas pela Microsoft automaticamente!
A vulnerabilidade Freak SSL/TLS descoberto por pesquisadores que descobriram que era possível decifrar os protocolos de criptografia HTTPS usados entre sites e navegadores em dispositivos da Apple e Android.
O nome da vulnerabilidade Freak vem de (Factoring attack on RSA-Export Keys) e informações no site freakattack.com website
criado especificamente explica que ele funciona, forçando um navegador do dispositivo móvel para usar, um padrão mais antigo de criptografia facilmente quebrável.

A vulnerabilidade Freak SSL/TLS permite que atacantes para interceptar as conexões HTTPS entre clientes e servidores vulneráveis e os force a usar a criptografia export-grade, que pode ser facilmente decifrada ou alterado
“Os dispositivos expostos a vulnerabilidade freak incluem muitos dispositivos do Google e da Apple (que usam OpenSSL sem a correção), e muitos outros produtos de software que usam TLS sem desabilitar as chaves recomendadas pela microsoft que possuem as criptografia vulneráveis.”
A vulnerabilidade Freak SSL/TLS foi descoberta por uma equipe de pesquisadores da SmackTLS.com, que explicou que o problema existe por causa da ex-política do governo dos EUA sobre tecnologias de criptografia.
Como o nome indica, esta classe de algoritmos foi introduzido sob a pressão de agências norte-americanas para garantir que a Agência de Segurança Nacional – NSA seria capaz de decifrar toda a comunicação criptografada estrangeira, enquanto que os algoritmos mais fortes foram proibidos pois eles foram classificados como armas de guerra “.
A história da vulnerabilidade Freak começou a ser escrita no início dos anos 1990, quando a NSA incentivou a Netscape a usar criptografias de 40 e 128 bits. A intenção era boa – mas acabou por produzir efeitos indesejados passados mais de 20 anos. No ano 2000, os browsers adotaram criptografias mais robustas. O que também pode ser encarado como uma decisão cheia de boas intenções. Só que o inferno está cheio de boas intenções – e de criptografias obsoletas. Nos últimos 15 anos, foram sendo adicionadas criptografias mais robustas, mas aquelas que eram usadas nos anos 1990 mantiveram-se disponíveis para quem as quisesse ativar. Hoje há milhões de sites que continuam a aceitá-la. E mais: todas versões do Windows também estão vulneráveis, confirmou a Microsoft.
Inúmeros sites conceituados são afetados pela falha, como americanexpress.com, groupon.com e whitehouse.gov. Além de boa parte dos sites que estão no topo do ranking Alexa.
A V3 contactou a Apple e Google para comentar sobre a falha, mas não recebeu qualquer resposta até o momento.
O pesquisador da F-Secure Sean Sullivan disse ao V3 que a descoberta sublinhou os riscos de tentar controlar tecnologias como criptografia, algo que David Cameron tem feito muito barulho no Reino Unido.
“Na década de 1990 houve a ideia de que eles poderiam controlar criptografia e código como se fosse uma coisa tangível e proibir a sua exportação. Aqui estamos 20 anos depois e você pode ver como esse ideal saiu pela culatra “, disse ele.
“Cameron está fazendo este mesmo ponto de hoje, mas a nossa dependência de criptografia só está a aumentar e, se você tentar introduzir alguma norma” para enfraquecer as criptografias “é certeza que uma hora isso se volte para você.”
Sullivan acrescentou que o risco para os usuários da Internet devido a vulnerabilidade Freak é muito teórica, o invasor precisa ter acesso ao servidor de um site e em seguida, forçar um dispositivo para aceitar o padrão mais antigo.
Fonte: Dan Worth – V3.co.uk
Todos os direitos reservados a Suporte Ninja
Blog do Suporte Ninja: Blog Suporte Ninja
Vulnerabilidade Freak afeta windows 7, 8, 8.1 e server 2012
Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012. Pensou-se que os sistemas Windows a não seriam afetados, mas a Microsoft revelou agora que todas as versões do seu sistema operacional estão em risco. "Nossa investigação verificou que a ...
Read More
Read More
Nenhum comentário:
Postar um comentário