POODLE flaw muerde SSL una vez más

Se ha detallado un nuevo vector de ataque contra SSL, pero los analistas están mezclados sobre la gravedad de la falla POODLE (Padding Oracle On Downgraded Legacy Encryption).

Después de que se rumoreó que fue revelado ayer por el Registrarse, fue mas tarde detallado como revelador vulnerabilidad en la forma en que SSL v3 usa cifrados y permite a un atacante extraer el texto sin formato de partes específicas de una conexión SSL, generalmente datos de cookies, y no requiere un control tan extenso del formato del texto sin formato. Por eso es más práctico.

Según Bodo Möller del equipo de seguridad de Google, quien descubrió la falla con otros miembros del equipo, el soporte para SSL 3.0 sigue siendo generalizado entre casi todos los navegadores, a pesar de que tiene casi 15 años y para evitar errores en los servidores HTTPS. , los navegadores volverán a intentar las conexiones fallidas con versiones de protocolo anteriores, incluido SSL 3.0.

«Debido a que un atacante de red puede causar fallas en la conexión, puede activar el uso de SSL 3.0 y luego explotar este problema», dijo.

“Deshabilitar la compatibilidad con SSL 3.0, o los cifrados en modo CBC con SSL 3.0, es suficiente para mitigar este problema, pero presenta importantes problemas de compatibilidad, incluso hoy. Por lo tanto, nuestra respuesta recomendada es apoyar TLS_FALLBACK_SCSV. Este es un mecanismo que resuelve los problemas causados ​​por reintentar las conexiones fallidas y, por lo tanto, evita que los atacantes induzcan a los navegadores a usar SSL 3.0. También evita las degradaciones de TLS 1.2 a 1.1 o 1.0 y, por lo tanto, puede ayudar a prevenir futuros ataques «.

Möller confirmó que Google Chrome comenzará a probar cambios hoy que deshabilitan el respaldo a SSL 3.0, aunque advirtió que este cambio romperá algunos sitios y esos sitios deberán actualizarse rápidamente. “En los próximos meses, esperamos eliminar completamente el soporte para SSL 3.0 de los productos de nuestros clientes”, dijo.
Según Robert de Errata Security Graham, Heartbleed y Shellshock permitían hackear servidores, mientras que POODLE permite hackear clientes, por lo que «si Hearbleed / Shellshock merecía un 10, entonces este ataque es de sólo 5».

Dijo que deshabilitar SSL v3 en los navegadores es fácil, pero no en los servidores. Dijo: “Requiere MitM (man-in-the-middle) para explotar. En otras palabras, el pirata informático debe poder acceder a los cables entre usted y el sitio web que está navegando, lo cual es difícil de hacer. Esto significa que probablemente esté a salvo de los piratas informáticos en casa, porque los piratas informáticos no pueden acceder a los enlaces troncales.

“Pero, dado que la NSA puede acceder a esos vínculos, probablemente sea fácil para ellos. Sin embargo, al usar el Starbucks local u otro WiFi sin cifrar, corre grave peligro con este ataque de hackers sitti
en la mesa de al lado «.

Un aviso de Microsoft, dijo que está al tanto del nuevo método para explotar una vulnerabilidad en SSL 3.0, y no está al tanto de ataques que intenten usar la vulnerabilidad reportada en este momento, pero “todas las versiones compatibles de Microsoft Windows implementan este protocolo y se ven afectados por esta vulnerabilidad ”.
Puede probar si es vulnerable en este sitio web.