Η Microsoft δήλωσε ότι οι εφαρμογές SSL/TLS σε όλες τις εκδόσεις των Windows είναι ευάλωτες σε επιθέσεις που εκμεταλλεύονται το ελάττωμα FREAK.
Αυτό σημαίνει ότι αν χρησιμοποιείτε Windows, ένας εισβολέας στο δίκτυό σας μπορεί ενδεχομένως θα μπορούσε να αναγκάσει τον Internet Explorer και άλλα προγράμματα των Windows που χρησιμοποιούν το ασφαλές κανάλι να χρησιμοποιήσουν ασθενή κρυπτογράφηση μέσω του web.
Οι υποβαθμισμένες HTTPS συνδέσεις μπορεί να σπάσουν εύκολα, αποκαλύπτοντας ευαίσθητα στοιχεία, όπως τα login cookies και τραπεζικές πληροφορίες.
“Η Microsoft είναι ενήμερη για την ευπάθεια του Schannel που επηρεάζει όλες τις υποστηριζόμενες εκδόσεις των Windows.
Η έρευνά μας έχει επαληθεύσει ότι η ευπάθεια θα μπορούσε να επιτρέψει σε έναν εισβολέα να αναγκάσει την υποβάθμιση της κρυπτογράφησης εφαρμογών που χρησιμοποιούν συνδέσεις SSL/TLS σε ένα σύστημα-client των Windows”.
Η εταιρεία αναφέρει ακόμα, ότι κατά τη στιγμή της συγγραφής δεν παρατηρήθηκαν επιθέσεις!
The bug (CVE-2015-1637) in Windows’ Secure Channel component is not thought to be under active attack by eavesdroppers at the time of writing.
Μάλλον η Microsoft θέλει να καθησυχάσει τους πελάτες της, αναφέροντας με λίγα λόγια “η ευπάθεια υπάρχει σε όλα μας τα συστήματα αλλά μείνετε ήσυχοι”
Η ευπαθεια FRΕAK (Factoring attack on RSA-EXPORT Keys) όπως αναφέραμε σε προηγούμενη δημοσίευση επιτρέπει την αποκρυπτογράφηση των cookies και άλλων ευαίσθητων πληροφοριών από συνδέσεις HTTPS σε ευάλωτα προγράμματα περιήγησης.
Μέχρι στιγμής, οι εκδόσεις του Google Chrome για το OS X πριν από την έκδοση 41.0.2272.76 και για το BlackBerry OS 10.3 είναι γνωστό ότι είναι ευάλωτες. Οι χρήστες μπορούν να επισκεφθούν την ιστοσελίδα freakattack.com για να διαπιστώσουν αν είναι ασφαλείς.
Να αναφέρουμε επίσης ότι εκατοντάδες πάροχοι υπηρεσιών Cloud δεν έχουν επιδιορθώσει την ευπάθεια. Η Skyhigh Networks αναφέρει ότι 766 υπηρεσίες cloud ήταν ακόμα σε κίνδυνο μια ημέρα μετά την εμφάνιση του FREAK, με βάση μια ανάλυση που πραγματοποίησε σε πάνω από 10.000 διαφορετικές υπηρεσίες.