Freak: PCs também estão vulneráveis a ataques de bug dos anos 90

Por Redação | 06.03.2015 às 13:32

Uma biblioteca de criptografia usada em todas as versões do Windows também está vulnerável ao Freak (Factoring attack on RSA-EXPORT Key). O bug permite que hackers forcem clientes e servidores a usar uma criptografia fraca, facilitando seu acesso aos dados.

O Freak é resultado de uma política criada pelo governo dos Estados Unidos na década de 1990, e que já foi extinta há muito tempo. Essa regra obrigava empresas a limitar a força das chaves de criptografia dos websites para não dificultar o acesso do governo às informações, quando necessário.

Porém, uma equipe de pesquisadores descobriu recentemente que muitos navegadores web ainda estão programados para fornecer as chaves de 512-bit quando requeridos. E é aí que os hackers podem agir.

A vulnerabilidade foi divulgada no início dessa semana, e, na ocasião, os resultados dos testes apontaram que cerca de 36% de todos os sites HTTPS habilitados com certificados de confiança do navegador eram potencialmente vulneráveis. Chrome para iOS, Safari, Opera e os navegadores para BlackBerry e Android foram considerados vulneráveis.

Porém, na última quinta-feira (05), a Microsoft emitiu um alerta de segurança dizendo que uma biblioteca de criptografia inclusa em todas as versões suportadas do Windows também estava vulnerável, a Secure Channel (Schannel). Isso significa que o Internet Explorer e outros programas que dependem do pacote de segurança do Schannel também estão afetados.

O aviso de segurança da Microsoft inclui uma solução que envolve a desativação da chave privada RSA por meio do "Editor de Objeto de Diretiva de Grupo". No entanto, isso poderia fazer com que os servidores passassem a recusar conexões que não suportem os demais pacotes de segurança. A solução sugerida também não pode ser aplicada no Windows Server 2003, pois a arquitetura de gerenciamento de chaves da plataforma não permite ativar ou desativar chaves individuais.

Pesquisadores da Universidade de Michigan, nos Estados Unidos, criaram um site intitulado Freak Attack que é capaz de verificar se o navegador do usuário está vulnerável ao Freak ou não. A página também traz informações sobre os esforços das empresas para sanar o problema, bem como uma lista dos sites HTTPS mais populares que foram afetados.