SSL/TLS安全：如何解决Schannel中WinShock漏洞?

Schannel是最新被发现存在SSL/TLS安全问题的加密库，本文中专家Michael Cobb介绍了这个WinShock漏洞以及企业应该如何降低风险。

在过去一年中，SSL/TLS协议出于各种错误的原因占据着新闻头条。

苹果的SecureTransport、OpenSSL、GnuTLS和Mozilla的NSS等加密软件库中出现了各种漏洞和部署问题，这让供应商和管理员都忙于解决这些潜在严重漏洞，以缓解对网络、用户及其数据的威胁。

其中微软的Secure Channel或者说Schannel是最新被发现容易受到攻击的加密库。

在本文中，笔者将详细介绍Schannel中的WinShock漏洞、为什么它比其他SSL/TLS漏洞更严重以及缓解这种威胁的最佳方法。

Schannel和WinShock漏洞

Schannel是微软的SSL/TLS协议部署，类似于OpenSSL在Linux系统中的使用。这个组件存在于所有微软Windows平台，并且大多数需要SSL/TLS加密和身份验证服务(例如IIS、Active Directory、OWA、Exchange、IE和Windows Update)的Windows软件都在使用它。

在11月，微软发布了安全公告MS14-066来解决Schannel中发现的漏洞，该漏洞被称为WinShock(现在似乎每个严重漏洞都需要一个引人注目和令人震惊的名字)。

通过发送特制的网络流量，远程攻击者可以利用WinShock漏洞，在服务器或客户端执行任意代码，从而允许攻击者通过恶意软件感染目标。攻击者还可以在不需要身份验证的情况下通过未请求的网络流量来发动攻击，这正是该漏洞非常严重的原因。

修复WinShock

WinShock应该尽快被修复。根据微软表示，目前还没有已知的缓解或解决办法;它甚至可以绕过增强缓解体验工具包(EMET)。

在企业中，最易受攻击的Windows设备是连接到互联网(例如Web和邮件服务器)的设备，因此这些设备最应该受到保护。其次，企业应该专注于修复内部服务器，然后是移动设备，最后是内部客户端。

管理员应该假设所有运行Windows的设备都易受到攻击，并使用资产注册表来确保没有遗漏设备，因为攻击者可能监听被遗忘的科学、即时通讯和其他软件来获取入站SSL连接。企业应确保更新网络防御来检测和阻止对该漏洞的利用;思科已经为MS14-066发布了很多Snort规则。

WinShock的严重程度

对于WinShock漏洞的真正性质存在一些混淆，例如它是如何被发现以及被谁发现，CVE-2014-6321是否实际上涵盖了Schannel中的多个漏洞等。

这个更新通过纠正Schannel审查特制数据包的方式解决该漏洞，同时，微软还对现有TLS加密套件进行了更改。虽然提供更强大的加密功能，但这些加密功能给运行Server 2008 R2和Windows Server 2012的一些系统造成了问题，因为TLS 1.2连接被撤销，服务变得间歇性反应迟钝。

随后微软重新发布了MS14-066更新，新的TLS加密在默认情况下未启用。这次更新(编号3018238)将通过MS14-066的安全更新自动安装。如果系统已经安装了MS14-066更新，该更新将会重新提供以确保安装新的加密更新。安装这些新的更新将需要重新启动。

影响所有Windows服务器版本的任何远程代码执行漏洞都可能比Heartbleed更糟糕，这是因为受影响系统的数量非常多。然而，与Heartbleed相比，WinShock似乎更难以被利用，更容易被修复，所以它应该更容易被控制。

尽管微软对WinShock的漏洞利用可能性标记为“1”—这表明攻击者可能很快会开发出漏洞利用，但微软估计攻击者很难创建出可靠的漏洞利用。(微软的补丁并不包括源代码，但攻击者将会进行逆向工程来了解漏洞以开发可行的攻击)。

当Heartbleed和POODLE漏洞为公众所知时，它们的利用代码已经存在，并且漏洞利用的要求相对不高。这就是说，它们都只是导致信息泄露，而不是远程代码执行。

现在的大问题是，从目前的情形来看，WinShock是Windows XP和Windows 2000的永远漏洞，因为这些系统不再受微软支持。这是企业从这些过时的操作系统升级的另一个强大的动力。如果微软不放宽政策，并为这些版本发布安全补丁，管理员将需要隔离和移除运行这些操作系统的机器，它们都可能被利用且不可修复。

WinShock和Heartbleed等漏洞显示了保持最新资产登记的重要性，这样的话，当发现关键漏洞时，管理员将知道哪些设备或软件可能存在风险。这让修复优先排序更快和更容易，并且可以确保不会有设备或系统被遗漏。