Ook Windows kwetsbaar voor FREAK SSL-bug

Na de mobiele browsers van Google en Apple, claimt de FREAK SSL-bug een nieuw slachtoffer: Windows. Microsoft heeft bekend gemaakt dat de fout in de Secure Channel-stack van zijn OS zit.

Met de FREAK SSL-bug (‘Factoring Attack on RSA-Export Key’) kan een ‘man-in-the-middle’-aanval opgezet worden op verouderde versies van het SSL- en TLS-protocol. Dit zijn de protocollen die het internetverkeer tussen HTTPS-websites en browsers versleutelen.

[related_article id=”161452″]

Met zo’n aanval kan de sterke RSA-encryptie teruggebracht worden naar een zwakkere versie. Deze versie is een resultaat van wetten uit de jaren negentig toen het illegaal was om producten met een sterke sleutel vanuit de Verenigde Staten te exporteren.

Nog geen klanten aangevallen
Hoewel Microsoft deel uitmaakte van het team dat de bug ontdekte, samen met Europese cryptografen, besloot Redmond om de kwetsbaarheid niet publiek bekend te maken tot vandaag. Volgens het bedrijf waren er toen geen aanwijzingen dat haar klanten al aangevallen werden via deze fout.

De bug komt voor in Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 en 8.1, Windows Server 2012 en Windows RT. Microsoft zegt dat het de fout onderzoekt en werkt aan een oplossing om zijn klanten te beschermen, ofwel via een reguliere update op Patch Tuesday ofwel via een extra, bijkomende update.

Zwakke sleutels uitgeschakeld
Het bedrijf geeft ook aan dat Windows-servers niet kwetsbaar zijn in hun standaardconfiguratie, waar de zwakke sleutels uitgeschakeld zijn. Enkel in Windows Server 2003 kan er niet tussen zwakke en sterke sleutels omgeschakeld worden.

Volgens een lijst van Freakattack.com zijn op dit moment onder meer Internet Explorer, Chrome op Android, de standaard-browser in Android, Safari op OS X en iOS, Blackberry Browser en Opera op Mac en Linux kwetsbaar voor de bug.

Wie wil testen of zijn specifieke versie risico loopt, kan naar de FREAK Client Test Tool-site surfen.