La vulnerabilità SSL/TLS che permette di intercettare il traffico HTTPS è presente anche in Windows. Microsoft ha rilasciato un avviso di sicurezza, con il quale conferma l’esistenza del bug FREAK in tutte le versioni del sistema operativo attualmente supportate. L’azienda di Redmond ha pubblicato un workaround in attesa della patch definitiva.
FREAK, acronimo di Factoring attack on RSA-EXPORT Keys, è una grave vulnerabilità presente nel protocollo SSL/TLS da oltre 20 anni. Per rispettare un obbligo imposto dagli Stati Uniti, gli sviluppatori avevano implementato il supporto per la crittografia basata su chiavi RSA a 512 bit. Nonostante il vincolo sia stato eliminato, molti software e siti web utilizzano ancora suite di cifratura “debole”. Sono sufficienti meno di sette ore per trovare la chiave e intercettare tutto il traffico HTTPS tra client e server.
La vulnerabilità è stata scoperta inizialmente su Android, iOS, OS X e BlackBerry OS, ma ora il numero di computer potenzialmente a rischio è diventato enorme, considerata la diffusione mondiale di Windows. Microsoft spiega che un malintenzionato potrebbe forzare il downgrading della suite di cifratura, attraverso un attacco MITM (man-in-the-middle). Tutte le informazioni sensibili dell’utente (password, numeri di carte di credito, ecc.) sarebbero quindi a rischio, soprattutto se la connessione ad Internet avviene con un rete WiFi pubblica.
Il workaround pubblicato da Microsoft prevede la modifica dell’ordine dei pacchetti di crittografia SSL mediante l’editor dei criteri di gruppo locali (gpedit.msc). Seguendo le istruzioni è possibile disattivare la suite RSA_EXPORT.
Oltre ad Internet Explorer sono vulnerabili anche Chrome su Android, Safari su iOS e OS X, il browser stock su Android, il browser BlackBerry, Opera su OS X e Linux. Per Chrome su OS X è già stata rilasciata la patch, mentre per Safari verrà distribuita la prossima settimana.