安全研究人员指出,DROWN的全称是“Decrypting RSA with Obsolete and Weakened eNcryption”,即“利用过时的弱化加密算法来对RSA算法进行破解”。这是一种严重的漏洞,将会影响使用 2代SSL的HTTPS和其他服务。
350万HTTPS服务器被DROWN漏洞影响
受到该漏洞影响的协议主要是互联网安全的基本密码协议。黑客可以在数分钟内利用该漏洞解密安全的HTTPS通信,如密码或信用卡号码。
研究人员估计,超过三百五十万个HTTPS服务器受到了该漏洞的影响。任何使用互联网浏览网页,使用电子邮件,购物或发送即时消息的用户都可能成为受害者。 攻击者可以从网络连接中解密数据,允许第三方读取用户的通信信息。
Qualys工程总监Ivan Ristic说:“这并不是一次小规模的攻击,而且黑客必须花费一定的成本才能获取具有重要价值的用户信息。”
DROWN漏洞攻击给企业带来风险
他表示,DROWN漏洞攻击是1998年的Bleichenbacher攻击的扩展,而Bleichenbacher攻击可用于在填充提示的帮助下对密文进行解密。 每1000次完全TLS握手协议中就会中有一次协议被解密,从而危及整个TLS会话。
研究人员发现,有38%的HTTPS 服务器以及22%带有浏览器信任证书的服务器可能会受到此次协议级攻击的影响。他们认为大量秘钥和证书的重复使用是该事件发生的主要原因。
在Alexa统计出的百万顶级网站中,有四分之一网站的TLS(安全传输层协议)可能会因为受到 SSLv2而遭到破坏。而据研究人员所示,黑客可以获取用户与服务器之间的任何通信。
阿维夫大学的工程师Nimrod Aviram表示,黑客可获取的信息包括用户名和密码,信用卡卡号,电子邮件,短信以及敏感文件。在一些常见的场景中,黑客还可以冒充一个安全的网站,拦截或篡改用户所看到的内容。
TokenEx的CEO Alex Pezold表示:“鉴于互联网上几乎所有的服务器都会受到此次攻击的影响,因此我认为此次攻击的危害十分严重。”
他指出,那些易受攻击的数据都是敏感数据,因而人们必须认真抵御该漏洞的威胁。企业应该对其网络环境进行测试,以便及时修复漏洞。
更多资讯内容:>>>过时的内核漏洞为新Dirty Cow 攻击创造机会