Lỗ hổng DROWN ảnh hưởng đến 11 triệu website trên thế giới

lo-hong-drown-anh-huong-den-11-trieu-website-tren-gioi-logoLỗ hổng DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) mới được phát hiện đầu tháng 3, ảnh hưởng tới hơn 11 triệu website sử dụng HTTPS trên toàn thế giới, trong đó có rất nhiều website tại Việt Nam.

 

 

Lỗ hổng DROWN là gì?

Lỗ hổng DROWN ảnh hưởng tới các kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Đây là các giao thức được dùng để mã hóa dữ liệu trong các dịch vụ như ebanking, thương mại điện tử… đồng thời cũng được nhiều cơ quan sử dụng để cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet.

Khai thác lỗ hổng DROWN, tội phạm mạng có thể lấy được các thông tin nhạy cảm của người dùng như mật khẩu, thông tin cá nhân, tài khoản ngân hàng, truy cập hộp thư hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.

Hướng dẫn xử lý lỗ hổng DROWN

Lỗ hổng DROWN khai thác điểm yếu của giao thức SSLv2. Do đó, để khắc phục chúng ta cần vô hiệu hóa giao thức này. Sau khi vô hiệu hóa SSLv2, bạn có thể kiểm tra lại tại http://tools.whitehat.vn. Hướng dẫn chi tiết như sau:

Bước 1: Kiểm tra hệ thống có tồn tại lỗ hổng DROWN hay không tại http://tools.whitehat.vn.

Bước 2: Vô hiệu hóa lỗ hổng theo hướng dẫn chi tiết cho từng hệ điều hành

Đối với server Windows

Để tắt hoàn toàn SSLv2 trên Windows có thể sử dụng công cụ do Microsoft cung cấp (http://go.microsoft.com/?linkid=9742318).

Trong trường hợp không sử dụng được công cụ này có thể thực hiện thay đổi trong registry (chú ý sao lưu trước khi có bất kỳ thay đổi nào để đảm bảo hoạt động cho server)

  • Trong Registry Editor tìm tới đường dẫn HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 2.0\Server
  • Chuột phải vào Server chọn New -> Add DWORD (32 bit) Value
  • Đặt tên là “Enabled” và đặt giá trị bằng 0
  •  Khởi động lại server

Chú ý: Trong trường hợp không tìm thấy SSL 2.0 trong Protocol có thể tự tạo thêm folder này và thực hiện tương tự như ở trên

Đối với server Linux

  • Với phiên bản OpenSSL 1.0.1: Nâng cấp lên phiên bản OpenSSL 1.0.1s

wget http://www.openssl.org/source/openssl-1.0.1s.tar.gz

tar –xvzf  http://www.openssl.org/source/openssl-1.0.1s.tar.gz

cd openssl-1.0.1s

./config –prefix=/usr/

make

sudo make install

  • Với phiên bản OpenSSL 1.0.2: Nâng cấp lên phiên bản OpenSSL 1.0.2g

wget http://www.openssl.org/source/openssl-1.0.2g.tar.gz

tar –xvzf  http://www.openssl.org/source/openssl-1.0.2g.tar.gz

cd openssl-1.0.2g

./config –prefix=/usr/

make

sudo make install

Nguồn : whitehat.vn

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.