BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Vulnerabilidades SSL/TLS en Internet Explorer y AKAMAI.COM reseteando la conexión SSL después de parchear.

BocaDePez
BocaDePez

Lo contare lo mas brevemente posible....

Mirando en la web me entero de que hay una vulnerabilidad en SSL/TLS que se llama FREAK Vulnerability, compruebo en la web de (link roto) (aquí podéis comprobar si vuestros navegadores son vulnerables a estos ataques o vulnerabilidades) mis navegadores siendo vulnerable solo el Internet Explorer, y no solo es vulnerable a este tipo sino que tambien es vulnerable a POODLE Vulnerability....vaya! que casualidad, los productos de microsoft no están parcheados correctamente.

Lo primero que se me ocurre es mirar en Windows Update de mi Windows 8.1 PRO 64 bits por si hubiese alguna actualización que arreglase el problema y no hay actualización alguna, asi que busco un poco más en la red y me encuentro con que Microsoft a puesto una página al público señalando como se puede resolver el problema, dicha web es esta:

(link roto) … 3046015.aspx donde se dice de utilizar el gpedit.msc para introducir una lista de certificados a utilizar en SSL/TLS, lo parcheo como dice en la pagina de Microsoft y vuelvo a comprobar que el Internet Esplorar es vulnerable o no, todo correcto, el parche ha funcionado y ahora el Internet Explorer parece seguro.

Hasta aquí todo normal, pero es el ir a comprobar de nuevo si existen actualizaciones y me encuentro con que el Windows Update ha dejado de funcionar dando un error 0x80072EFE, que según Microsoft, este error significa ERROR_INTERNET_CONECTION_ABORTED.

Uso el Wireshark y compruebo la conexión del Windows Update viendo que la dirección del servidor de actualizaciones de Microsoft con la IP 157.55.240.220 es resuelta por el el servidor DNS (he probado varios y todos resuelven lo mismo) como sls.update.microsoft.com.akadns.net y este directamente resetea la conexión SSL con un paquete RST,ACK.

Si, AKAMAI respondiendo por Microsoft, y directamente como se utiliza un protocolo seguro sin fisuras (al menos según el parcheo del sistema) deciden impedir la conexion con los servidores de Microsoft para que se actualice el sistema de manera correcta.

¿Recordáis la que se armo en la red cuando se empezó a comentar como los ISP empezaron a utilizar ProxysCache?, pues AKAMAI es uno de esos que actúan como cache de contenidos para que los usuarios no tengan que esperar debido a la distancia de las conexiones a la par que reducen la carga en las empresas a las que dan servicio.

Y me preguntaba si a vosotros os ocurre lo mismo si parcheáis vuestro WIN 8.1 PRO (ojo, que las versiones no PRO no hay gpedit.msc con que parchear) si AKAMAI tambien os impide la conexión segura a través de SSL y cifrados sin vulnerabilidades, lo ideal sería que se comprobase con distintos ISP para saber si es algo que ocurre solo en Jazztel o si ocurre en otros ISPs.

También me asaltan preguntas a la cabeza como ¿si no pueden espiar las conexiones directamente las bloquean? ¿Están metiendo sus propias actualizaciones como si vinieran directamente desde Microsoft?, esto me lo pregunto ya que después de ver esto me dio por desactivar la regla creada y activada con el gpedit y volver a comprobar si funcionaba el Windows Update y aparecieron dos actualizaciones que 10 minutos antes no aparecían, una actualización de la herramienta de software malintencionado de Windows y una actualización del driver MTP de mi teléfono móvil con fecha de !febrero de 2012!.

Si el explorador web puede conectar a HTTPS con la regla de cifrados seguros, ¿como es posible que Windows no pueda conectar a Windows Update con los mismos protocolos y si se pueda con protocolos inseguros?, ¿AKAMAI es quien decide que conexiones bloquear?.

Venga, comentad.

Curiosas las cosas que pasan en la red hoy en día ¿eeeh?

333

Curiosas las cosas que pasan en la red hoy en día ¿eeeh?

Ya ves lo mala que es la ignorancia.

🗨️ 7
BocaDePez
BocaDePez

Seguro que tu no eres de esos ignorantes......iluminanos, pero a lo mejor te fundo la luz, tu verás.

🗨️ 6
333

Hombre, comparar Akamai con el ProxyCache de Telefónica es incorrecto. Lee lo que hace Akamai.

🗨️ 5
BocaDePez
BocaDePez

Iluminanos, iluminanos, que Akamai también trabaja con Movistar.

🗨️ 4
333
🗨️ 3
333
🗨️ 1
BocaDePez
BocaDePez

Se me olvidó comentar que si desactivais la regla creada para comprobar y la volvéis a activar tendréis que introducir la lista de certificados seguros otra vez tal como se dice en la instrucciones de Microsoft relativas al Microsoft Security Advisory 3046015.

Y muy importante, en dicho link de Microsoft se explicaba como introducir la lista de certificados de manera correcta, esto ha desaparecido de dicha pagina....otro detalle muy interesante, el como cambian las paginas en unas horas sin que quede datado el cambio en la página, esto ha ocurrido hoy y la última variación de dicha página dice ser del día 5 de Marzo...la forma correcta de introducir la lista de certificados según lo que yo leí era copiar la lista de certificados que aparecen en dicha pagina en un editor por ejemplo y quitarle todos los retornos de carro y espacios a la lista, después copiar y pegar y reiniciar y es cuando se pasa el test de SSlabs con el Internet Explorer, si lo hacéis de otra manera el IE seguirá fallando en el test de seguridad.

lo que ha desaparecido de la página es lo que referencia en el punto 5. Follow the instructions labeled How to modify this setting, and enter the following cipher list

BocaDePez
BocaDePez

Como parece que a alguien no le interesa que funcionen los links que he posteado al principio, vuelvo a postear el link de la lista de los certificados de microsoft:

(link roto)

¿esto de que se deshabiliten los links en bandaancha.....se os ha enfermado el sistema o que?

🗨️ 2
Ari

Ejemm..los enlaces con https tienes que introducirlos en la opción enlace. O, en su defecto, le quitas la "s" final y te saldrá el enlace directamente así.

Que yo sepa y recuerde, siempre fue así :)

Ejemplos:

(link roto) (quitando la s final)

(link roto) (usando la opción de pegar enlace)

Saludos

Edit. Te he arreglado el primer enlace del mensaje principal. Si no me equivoco parece que el segundo es el mismo que he puesto yo ahora. ¿Es así?

🗨️ 1
BocaDePez
BocaDePez

Los enlaces los postee con el icono de enlaces que hay en la web, así que sigo diciendo que lo que antes enlazaba correctamente después dejo de hacerlo (compruebo que enlazan correctamente nada mas postear los enlaces).....quizás deberíais mirar si algo o alguien no funciona bien o intenta hacer que parezca que soy yo el que no funciona correctamente.

Ari

Te lo muevo al foro Seguridad :)

Saludos

BocaDePez
BocaDePez

Otro detalle mas, la Tienda de Windows también ha dejado de funcionar si se parchea el SSL/TLS por medio de gpedit.msc, muestra un error 0x800728f8.

¿Alguno más ha parcheado Windows 8.1 Pro y le ha dejado de funcionar el Windows Update y la tienda de Windows?

BocaDePez
BocaDePez

El problema parece que ya está solucionado por parte de Microsoft.....ha sacado el Microsoft Security Bulletin MS15-031 (link roto) hade referencia a support.microsoft.com/en-us/help/3046049.

No os olvideis de deshabilitar el SSL3 en el IE usando el (link roto) … rity/3009008 o directamente a mano en las opciones de configuración.

BocaDePez
BocaDePez

Microsoft ya arregló el problema:

(link roto) … ity/MS15-031

🗨️ 3
BocaDePez
BocaDePez

Se te resisten los enlaces en tus posts... quizás algún día aprendas a ponerlos ;)

🗨️ 2
BocaDePez
BocaDePez

Puede que algún día aprenda a ponerlos.....quizás cuando no cambien los scripts a lo mejor doy con la solución de como ponerlos...así que de momento seguiré pasando por idiota.

🗨️ 1
BocaDePez
BocaDePez

No sé, yo nunca he tenido problemas en ello. Seleccionas un trozo de texto con el que asociar el enlace, le das al botón de enlace y en el nuevo recuadro que aparece sobre el código de seguridad, pones la URL de destino, sea esta HTTP o HTTPS. Aparte eso, las URL HTTP sí son automaticamente convertidas en enlaces por el parser de BandaAncha.

A no ser que haya cambiado algo o exista un bug... voy a probar ahora aquí a poner los enlaces que te salían mal arriba:

(link roto)

support.microsoft.com/en-us/help/3046049…ature-bypass

(link roto)

BocaDePez
BocaDePez

Suerte que era breve, chico... un poco mas...

Bueno ésta vulnerabilidad es posible, a veces cambias algún código y ya la has liado. Supongo que los de Microsoft, tan majos ellos, ya lo arreglarán.