בשבוע האחרון התגלתה פירצה בפרוטוקול SSL שנקראת Poodle, הפירצה פוגעת בפרוטוקול עצמו ולא באובייקט שעושה שימוש בקריפטוגרפיה.

איפה הפירצה?

כאשר אנו מבצעים הזדהות מול מערכת מבוססת SSL3.0 אנו מבצעים negotiate בין המשתמש לשרת וחושפים אחד לשני את הפרוטוקולים שכל צד תומך, לאחר מכן הפרוטוקול הכי חזק בין שני הצדדים נבחר ומבצע את תהליך האימות.
גם במצב בהם ישנם פרוטוקולים נוספים תמיד הצד החזק מנצח, גם אם ישנה בעיה בפרוטוקול שנבחר ולכן מכאן מתחילה הבעיה.
פירצת פודל למעשה מאפשרת לתוקף להתחזות לאחד הצדדים ולדווח שהוא יכול להשתמש רק בפרוטוקול SSL3.0 בלבד ולאלץ את הצד השני להשתמש גם כן בפרוטוקול SSL3.0, מרגע זה התוקף מנצל את הפירצה.

לכאורה זה נראה שהתוקף יכול לפרוץ בכל רגע אך בפועל התוקף צריך לבצע מאות בקשות Https בזמן קצר בכדי להצליח.

איך מונעים

הפתרון הוא פשוט מאד וצריך לבצע Disable לפרוטוקול SSL3.0 בתחנות וכן בשרתים שעושים שימוש בפרוטוקול SSL3.0.
כאשר מבטלים את פרוטוקול SSL3.0 אנו מונעים שימוש ומאפשרים עבודה עם פרוטוקול TLS, במידה וישנם מערכות המבוססות רק SSL3.0 תתכן בעיה ולכן צריך לוודא ביטול קודם לכן.
שרתי Lync\Exchange יכולים לעבוד ללא פרוטוקול SSL3.0 ולכן אין סיכון בביטול הפרוטוקול, אך שוב כמו בכל מערכת יש לבדוק קודם לכן ואין לבטל ישירות.

ביטול SSL3.0

1. נכנסים אל Regedit וניגשים אל הנתיב הבא
לשרתים  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server
לתחנות  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Client
2. הוספת אובייקט DWORD עם ערך Enabled ולאחר מכן ערך 00000000 ובסיום אתחול למחשב

בנוסף יש לבטל SSL3.0 מתוך IE בהגדרות מתקדמות ולאחר מכן להפעיל TLS

קישור Microsoft Security Advisory 3009008