image

Microsoft schakelt SSL 3.0 in Internet Explorer uit

donderdag 30 oktober 2014, 10:24 door Redactie, 10 reacties

Microsoft heeft een fix uitgebracht waarmee gebruikers van Internet Explorer SSL 3.0 kunnen uitschakelen, om zich zo tegen het onlangs onthulde POODLE-lek te beschermen. Een kwetsbaarheid in SSL 3.0 zorgt ervoor dat een aanvaller die zich tussen een gebruiker en het internet weet te plaatsen, bijvoorbeeld bij een open wifi-netwerk, informatie uit versleutelde verbindingen kan stelen, zoals sessiecookies.

De softwaregigant laat weten dat het bezig is om de komende maanden SSL 3.0 standaard in IE uit te schakelen, alsmede in alle online Microsoft-diensten. "Hoewel het aantal systemen dat alleen op SSL 3.0 vertrouwt klein is, beseffen we dat met name voor bedrijven het uitschakelen van dit protocol gevolgen kan hebben", zegt Microsofts Tracey Pretorius. Daarom is er voor een geplande aanpak gekozen waarbij klanten van tevoren zullen worden gewaarschuwd. In afwachting van de geplande updates is het mogelijk om via de Fix-it-oplossing SSL 3.0 via één muisklik uit te schakelen.

Reacties (10)
30-10-2014, 12:15 door depend
Is het niet beter om SSL 3.0 ingeschakeld te laten, dan het helemaal uit te schakelen? Ondanks de lek.
30-10-2014, 13:00 door PietdeVries - Bijgewerkt: 30-10-2014, 13:01
Door depend: Is het niet beter om SSL 3.0 ingeschakeld te laten, dan het helemaal uit te schakelen? Ondanks de lek.

Uhm... waarom?
Merk op dat het in IE (10 en verder tenminste) redelijk eenvoudig was om SSL 3.0 uit te schakelen. In Firefox heeft me dat meer moeite gekost (add-on die niet helemaal doet wat ik wil)
30-10-2014, 13:12 door Erik van Straten - Bijgewerkt: 30-10-2014, 15:22
Heise Security waarschuwt voor een onverwachte bijwerking in de Fix-It in http://www.heise.de/security/meldung/Poodle-Microsoft-fixt-SSLv3-Verschluesselung-2438656.html:
2014-10-30 12:46, door Jürgen Schmidt:
[...] das kleine Fix-it-Progrämmchen schalteten bei unseren Tests nicht nur das kaputte SSLv3 sondern auch die durchaus erwünschten, aktuellen Standards TLS 1.1 und vor allem TLS 1.2 ab.
[...]
Vertaald: het kleine Fix-It programma schakelde bij ons niet alleen het defecte SSLv3 uit, maar schakelde ook de, doorgaans gewenste, aktuele standaarden TLS 1.1 en vooral TLS v1.2 uit.

Update/aanvulling 15:22: direct na mijn bijdrage verderop heb ik een mailtje gestuurd naar Jürgen Schmidt, die vervolgens genoemde Heise pagina geüpdate heeft en mijn naam noemt. Danke Jürgen!
Ook heb ik ondertussen 2 berichten onderaan https://support.microsoft.com/kb/3009008 achtergelaten, maar eens zien of Microsoft dit snel oppakt.

In https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken (zoek naar: register) beschrijf ik hoe je SSLv3 definitief kunt uitschakelen voor alle accounts op een PC, zodanig dat gebruikers dat niet (per ongeluk) weer aan kunnen zetten.

Slechte zaak trouwens dat Microsoft in https://support.microsoft.com/kb/3009008 (mixed content trouwens) niet vertelt wat deze Fix-It precies uitspookt op je systeem. Ik heb nu geen tijd om dit uit te zoeken; iemand anders?

Door depend: Is het niet beter om SSL 3.0 ingeschakeld te laten, dan het helemaal uit te schakelen? Ondanks de lek.
Dat zou ik niet doen, zie mijn bovengenoemde artikel voor uitleg.

Aanvulling: https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills-off-protocol/ bevat handige plaatjes om te zien hoe je SSLv3 uitschakelt in diverse servers en webbrowsers.

Aanvulling 2: In https://www.ssllabs.com/ssltest/viewMyClient.html kun je testen of ondersteuning voor SSLv3 correct is uitgezet in de specifieke browser die je op dat moment test. Eventuele "mixed content" waarschuwingen zijn normaal op deze pagina, dat is nodig om de tests uit te kunnen voeren (zie ook de discussie vanaf https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken#posting406948).
30-10-2014, 13:55 door Spiff has left the building
Door Erik van Straten, 13:12 uur:
Slechte zaak trouwens dat Microsoft in https://support.microsoft.com/kb/3009008 (mixed content trouwens) niet vertelt wat deze Fix-It precies uitspookt op je systeem. Ik heb nu geen tijd om dit uit te zoeken; iemand anders?
Ook ik heb dat niet uitgeprobeerd en uitgezocht.
Zoals Erik aangeeft: misschien iemand anders?

Wel zie ik dat Microsoft Security Advisory 3009008 vermeldt,
https://technet.microsoft.com/en-us/library/security/3009008:
Note:
See Microsoft Knowledge Base Article 3009008 to use the automated Microsoft Fix it solution to disable SSL 3.0 in Internet Explorer only.
Die Fix it hoort zich dus alleen met SSL 3.0 in Internet Explorer te bemoeien, niks meer.

En dat is in tegenspraak met deze bevindingen:
Door Erik van Straten, 13:12 uur:
Heise Security waarschuwt voor een onverwachte bijwerking in de Fix-It in http://www.heise.de/security/meldung/Poodle-Microsoft-fixt-SSLv3-Verschluesselung-2438656.html:
2014-10-30 12:46, door Jürgen Schmidt:
[...] das kleine Fix-it-Progrämmchen schalteten bei unseren Tests nicht nur das kaputte SSLv3 sondern auch die durchaus erwünschten, aktuellen Standards TLS 1.1 und vor allem TLS 1.2 ab.
[...]
Vertaald: het kleine Fix-It programma schakelde bij ons niet alleen het defecte SSLv3 uit, maar schakelde ook de, doorgaans gewenste, aktuele standaarden TLS 1.1 en vooral TLS v1.2 uit.
Als dit werkelijk optreedt dan is dat een bijzonder domme fout, zo lijkt me.

En los daarvan nog:
Ik zie niet of nauwelijks het nut van Microsoft Fix it 51024 wanneer handmatig uitschakelen van SSL 3.0 support in Internet Explorer zo eenvoudig is als het is. De moeilijkheidsgraad van het handmatig uitschakelen van SSL 3.0 support in Internet Explorer is nauwelijks hoger dan die van het uitvoeren van de Fix it.
Mogelijk blokkeert de Fix it de mogelijkheid om SSL 3.0 support per ongeluk weer in te schakelen, dat zou dan het enige werkelijke voordeel zijn. (Ik heb die Fix it zelf niet getest, dus ik weet niet of het de mogelijkheid om SSL 3.0 support per ongeluk weer in te schakelen blokkeert, zoals ik vermoed.)
30-10-2014, 14:18 door Anoniem
Er staat altijd nog wel ergens iemand op een laatste bus te wachten die niet meer komt, we moeten dit aangrijpen om ssl 3.0 nu voor goed de nek om te draaien en sites die het nu nog niet snappen moeten er dan maar op de verveldende manier achter komen, eens zien hoe snel ze kunnen upgraden, je kan geen ommeletten maken zonder een paar eieren te breken.
30-10-2014, 14:27 door Erik van Straten
@Spiff: dank voor de reactie.

Ik heb toch maar even gekeken. Met 7-Zip uit MicrosoftFixit51024.msi de file "Binary.DoWork" bekeken (Edit), daarin staat onder meer (vereenvoudigd):

If IEVersion=11 Then
  OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows
      \CurrentVersion\Internet Settings\SecureProtocols", 2688, "REG_DWORD"
ElseIf IEVersion>=6 And IEVersion<=10 Then
  OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows
      \CurrentVersion\Internet Settings\SecureProtocols", 128, "REG_DWORD"
End If

2688 = 0xA80 = 1010 1000 0000. Dat betekent in de MSIE 11 geavanceerde instellingen:
[  ] Use SSL 2.0
[  ] Use SSL 3.0
[V] Use TLS 1.0
[V] Use TLS 1.1
[V] Use TLS 1.2

128 = 0x80 = 0000 1000 0000. Dat betekent in, MSIE 10 en ouder, in de geavanceerde instellingen:
[  ] Use SSL 2.0
[  ] Use SSL 3.0
[V] Use TLS 1.0
[  ] Use TLS 1.1
[  ] Use TLS 1.2

Uit https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers:
TLS 1.1 and 1.2 supported, but disabled by default: Internet Explorer (8–10 for Windows 7 / Server 2008 R2, 10 for Windows 8 / Server 2012)
Ik vermoed dat Jürgen Schmidt met MSIE10 of ouder getest heeft, en eerder TLS v1.1 en TLS v1.2 had aangezet. Deze Fix-It schakelt ze dan weer uit. En hier heeft Microsoft 2 weken over gedaan?

Conclusies:
1) Ik zou deze Fix-It hooguit gebruiken bij MSIE11, maar zelf de instellingen van MSIE aanpassen is net zo eenvoudig lijkt me.

2) Ik zou deze Fix-It niet gebruiken bij MSIE10 en ouder.

3) Ik werk al zelf 2 weken probleemloos met de door mij voorgestelde fix ([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000, zie https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken).
30-10-2014, 15:07 door Spiff has left the building
Door Erik van Straten, 14:27 uur:
Ik heb toch maar even gekeken.
Dankjewel, Erik.

Door Erik van Straten, 14:27 uur:
Ik vermoed dat Jürgen Schmidt met MSIE10 of ouder getest heeft, en eerder TLS v1.1 en TLS v1.2 had aangezet. Deze Fix-It schakelt ze dan weer uit. En hier heeft Microsoft 2 weken over gedaan?
Ja, zo ziet het er wel uit. Ach!

De vraag is waaróm Microsoft Fix it 51024 TLS v1.1 en TLS v1.2 voor MSIE 8, 9 en 10 terugzet naar de "Disabled by default" toestand. Enkel omdat dat de oorspronkelijke instelling is? Dat zou nogal erg dom zijn.

Overigens, die mogelijkheid van ondersteuning van TLS v1.1 en TLS v1.2 die bestaat voor MSIE 8, 9 en 10 enkel voor Windows 7 en Server 2008 R2, en daarnaast voor MSIE 10 onder Windows 8 en Server 2012.
Onder Windows Server 2003, Windows Vista en Windows Server 2008 (non-R2) bestaat géén mogelijkheid van ondersteuning van TLS v1.1 en TLS v1.2.
Dit althans allemaal volgens de Wikipedia informatie, ik heb de bronnen niet gecontroleerd.
https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
30-10-2014, 15:37 door Anoniem
Stel ik mij de vraag of je dat ook moet doen, dat uitschakelen van SSL 3.0, als je totaal geen Wi-Fi gebruikt.

Mocht het zijn dan valt het vrij simpel uit te zetten in IExplorer 11 dacht ik, vinkje weghalen. (Internetopties, geavanceerd)

Ik denk niet dat ik, geen Wi-Fi gebruiker zijnde, dat Fix it ga uitproberen, alles draait hier vlot op huidig ogenblik.
30-10-2014, 20:57 door [Account Verwijderd] - Bijgewerkt: 30-10-2014, 20:58
Door Anoniem 30-10-2014 15:37 uur: Stel ik mij de vraag of je dat ook moet doen, dat uitschakelen van SSL 3.0, als je totaal geen Wi-Fi gebruikt.

Mocht het zijn dan valt het vrij simpel uit te zetten in IExplorer 11 dacht ik, vinkje weghalen. (Internetopties, geavanceerd)

Ik denk niet dat ik, geen Wi-Fi gebruiker zijnde, dat Fix it ga uitproberen, alles draait hier vlot op huidig ogenblik.

Het wel of niet hoeven uitschakelen van SSL3.0, is niet afhankelijk of je wel of niet gebruikt maakt van Wi-Fi wanneer je een beveiligde verbinding maakt met een website. Dit geldt bij mij wetende net zo goed voor kabel.

Tip lees het volgende topic op security.nl als je meer wilt weten over het POODLE-lek:

----------------------------------------------------------------------------------------------
''SSLv3 "Poodle" lek voor leken''
https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken
Geschreven door Erik van Straten.
----------------------------------------------------------------------------------------------
31-10-2014, 08:29 door B3am
Door PietdeVries:

In Firefox heeft me dat meer moeite gekost (add-on die niet helemaal doet wat ik wil)

Volgens mij volstaat dit om het in FF om te zetten: tik in het url veld about:config en zoek:

security.tls.version.min specifies the minimum allowed protocol version
security.tls.version.max specifies the maximum allowed protocol version

Acceptable values for these options:

0 – SSLv3
1 – TLS 1.0
2 – TLS 1.1
3 – TLS 1.2

minimum allowed wordt dan 1
maximum allowed wordt dan 3
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.