Microsoft ha publicado un aviso de seguridad sobre una vulnerabilidad que evita la función de seguridad en Secure Channel (Schannel ) en todas las versiones compatibles de Microsoft Windows.
La vulnerabilidad podría permitir a un atacante forzar el uso de una versión antigua de las suites de cifrado utilizadas en una conexión SSL/TLS en un sistema cliente Windows. La vulnerabilidad facilita la explotación de la técnica FREAK divulgada públicamente en esta semana. Microsoft puntualiza que no hay indicios de que este fallo se esté utilizando en ataques.
FREAK (CVE-2015-1637) es un fallo en Internet. Afecta a sistemas cliente SSL, como OpenSSL, permitiendo que un atacante pueda forzar el uso de una versión antigua del cliente SSL y entonces iniciar un ataque de hombre-en-el-medio para interceptar el tráfico cifrado.
Para que un ataque tenga éxito el sistema servidor necesita ser compatible con cifradores que exportan la llave de cifrado RSA. La configuración predeterminada de sistemas servidor de Windows tiene deshabilitada esta facilidad por lo que no son impactados por el fallo de seguridad.
Microsoft está trabajando en la actualización de seguridad para corregir la vulnerabilidad, la cual podría ser divulgada un martes de parches o antes si es necesario.
Una solución provisional recomendada por Microsoft es desactivar los cifrados RSA de intercambio de llaves mediante el editor de políticas GPO (sólo en Windows Vista y sistemas posteriores). Esta solución temporal no corrige el fallo de seguridad, solamente ayuda para bloquear los ataques en tanto se dispone de la actualización de seguridad.