WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft vô hiệu hóa RC4 trong Edge và Internet Explorer 11
Từ tuần này, thuật toán mã hóa RC4 bị vô hiệu hóa trong trình duyệt Edge (Windows 10) và Internet Explorer 11 (từ Windows 7 trở lên), tương tự như trên Chrome và Firefox.
RC4 đã được hỗ trợ rộng rãi trong gần 30 năm bởi các dịch vụ trực tuyến và ứng dụng web, nhưng tồn tại rất nhiều lỗ hổng. Microsoft tiết lộ kế hoạch ngừng hỗ trợ RC4 từ tháng 9 năm ngoái, vài tháng sau khi các nhà nghiên cứu tìm thấy một phương pháp tấn công mới và chứng minh rằng tấn công RC4 đang ngày càng thực tế và khả thi.
Ngày 9/8, Microsoft phát hành bản cập nhật an ninh tháng 8 trong đó có KB3151631, một bản cập nhật vô hiệu hóa RC4 trong các trình duyệt Edge và IE11. Các phiên bản mới nhất của Chrome và Firefox cũng ngừng hỗ trợ thuật toán này.
"Các cuộc tấn công hiện đại đã chứng minh rằng RC4 có thể bị phá vỡ trong vòng vài giờ hoặc vài ngày. Tấn công điển hình trên RC4 khai thác các khuynh hướng trong chuỗi khóa RC4 để khôi phục lại thông tin đã mã hóa. Tháng 2/2015, các cuộc tấn công mới buộc Lực lượng chuyên trách về kỹ thuật mạng (Internet Engineering Task Force) ngăn cấm sử dụng RC4 với TLS”, Brent Mills, Giám đốc cấp cao, Windows Experience giải thích.
Trước tuần này, Edge và IE11 cho phép RC4 trong quá trình chuyển từ TLS 1.2 hoặc 1.1 về TLS 1.0. Trong khi đây thường là kết quả của một lỗi ngẫu nhiên, quá trình này không khác gì một cuộc tấn công man-in-the-middle, và đây là lý do tại sao các trình duyệt web phổ biến đã vô hiệu hóa RC4.
Tuy nhiên, việc thay đổi dự kiến sẽ có ít tác động tới trải nghiệm duyệt Internet của người dùng. Chỉ một lượng rất nhỏ các dịch vụ web không an toàn hỗ trợ RC4, và số lượng này tiếp tục được thu hẹp lại.
Mặt khác, các quản trị hệ thống viên với các dịch vụ web dựa trên RC4 nên kích hoạt TLS 1.2 trong các dịch vụ và loại bỏ hỗ trợ RC4.
Để vô hiệu hóa RC4 trong Internet Explorer 11 và Microsoft Edge trong Windows 10, người dùng nên cài đặt cập nhật KB3176492 Cumulative cho Windows 10 hoặc cập nhật KB3176493 Cumulative cho Windows 10 phiên bản 1511.
Phát hành tháng 1 năm nay, Firefox 44 bỏ hỗ trợ cho RC4, ngoài việc cung cấp cho người dùng nhiều cải tiến an ninh khác. Bắt đầu từ tháng 6, Google không hỗ trợ thuật toán mã hóa này từ các máy chủ SMTP và từ máy chủ web của Gmail.
Theo SecurityWeek
RC4 đã được hỗ trợ rộng rãi trong gần 30 năm bởi các dịch vụ trực tuyến và ứng dụng web, nhưng tồn tại rất nhiều lỗ hổng. Microsoft tiết lộ kế hoạch ngừng hỗ trợ RC4 từ tháng 9 năm ngoái, vài tháng sau khi các nhà nghiên cứu tìm thấy một phương pháp tấn công mới và chứng minh rằng tấn công RC4 đang ngày càng thực tế và khả thi.
Ngày 9/8, Microsoft phát hành bản cập nhật an ninh tháng 8 trong đó có KB3151631, một bản cập nhật vô hiệu hóa RC4 trong các trình duyệt Edge và IE11. Các phiên bản mới nhất của Chrome và Firefox cũng ngừng hỗ trợ thuật toán này.
"Các cuộc tấn công hiện đại đã chứng minh rằng RC4 có thể bị phá vỡ trong vòng vài giờ hoặc vài ngày. Tấn công điển hình trên RC4 khai thác các khuynh hướng trong chuỗi khóa RC4 để khôi phục lại thông tin đã mã hóa. Tháng 2/2015, các cuộc tấn công mới buộc Lực lượng chuyên trách về kỹ thuật mạng (Internet Engineering Task Force) ngăn cấm sử dụng RC4 với TLS”, Brent Mills, Giám đốc cấp cao, Windows Experience giải thích.
Trước tuần này, Edge và IE11 cho phép RC4 trong quá trình chuyển từ TLS 1.2 hoặc 1.1 về TLS 1.0. Trong khi đây thường là kết quả của một lỗi ngẫu nhiên, quá trình này không khác gì một cuộc tấn công man-in-the-middle, và đây là lý do tại sao các trình duyệt web phổ biến đã vô hiệu hóa RC4.
Tuy nhiên, việc thay đổi dự kiến sẽ có ít tác động tới trải nghiệm duyệt Internet của người dùng. Chỉ một lượng rất nhỏ các dịch vụ web không an toàn hỗ trợ RC4, và số lượng này tiếp tục được thu hẹp lại.
Mặt khác, các quản trị hệ thống viên với các dịch vụ web dựa trên RC4 nên kích hoạt TLS 1.2 trong các dịch vụ và loại bỏ hỗ trợ RC4.
Để vô hiệu hóa RC4 trong Internet Explorer 11 và Microsoft Edge trong Windows 10, người dùng nên cài đặt cập nhật KB3176492 Cumulative cho Windows 10 hoặc cập nhật KB3176493 Cumulative cho Windows 10 phiên bản 1511.
Phát hành tháng 1 năm nay, Firefox 44 bỏ hỗ trợ cho RC4, ngoài việc cung cấp cho người dùng nhiều cải tiến an ninh khác. Bắt đầu từ tháng 6, Google không hỗ trợ thuật toán mã hóa này từ các máy chủ SMTP và từ máy chủ web của Gmail.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: