Microsoft ha pubblicato l’ avviso di sicurezza 3046015 riguardante FREAK, la vulnerabilità nelle comunicazioni SSL/TLS generata dalle politiche malsane delle autorità USA e che a quanto pare è in grado di far danni anche sui sistemi operativi Windows supportati ufficialmente.
La falla può essere usata per compromettere i meccanismi di sicurezza del componente Secure Channel (Schannel) che gestisce le comunicazioni Web cifrate su Windows, rivela il bollettino di Microsoft, forzando Internet Explorer o altri browser a fare uso di chiavi crittografiche RSA “deboli”, facili da identificare tramite attacchi di forza bruta.
Le indagini di Redmond hanno evidenziato come Schannel sia prono a FREAK, anche se la corporation è lesta nel comunicare che, al momento della pubblicazione dell’avviso 3046015, non risultano noti casi in cui la falla sia stata sfruttata per condurre attacchi contro utenti o aziende.
Microsoft fornisce informazioni su come mitigare il rischio di farsi “bucare” da FREAK, meccanismi come la modifica del Registro su Windows Server 2003 (per inibire lo scambio delle chiavi crittografiche insicure) a cui dovrebbe seguire la distribuzione di una eventuale patch correttiva.
FREAK può far danni sui PC (e soprattutto sui server) basati su OS Windows, ma anche nel campo del FOSS la vulnerabilità sta causando non pochi problemi: la media calcolata dei servizi vulnerabili usati da un’azienda è di 122, mentre i servizi cloud ancora a rischio dopo 24 ore dalla scoperta pubblica del problema sono più di 700. E questo nonostante OpenSSL abbia già chiuso la falla a gennaio.
Alfonso Maruccia