Er Heartbleed farlig for min Microsoft infrastruktur ?
Heartbleed truslen i OpenSSL (katalogiseret som CVE-2014-0160) rammer alene OpenSSL. De mest anvendte applikationer, der anvender OpenSSL, er Apache og nginx.
Heartbleed har modtaget meget opmærksomhed de par dage i forskellige medier til trods for, at den er meget gammel. Så vidt jeg husker blev bristen afsløret allerede i 2011, men de sidste par dage har den fået et navn og er kommet på vores alles læber - og der er i øvrigt også kommet et sikkerhedspatch.
Truslen er også reel - en ondsindet hacker vil gennem sikkerhedshullet kunne få adgang til data, der ellers er krypteret, og dette giver en alvorlig sikkerhedsfejl. Sender du eksempelvis dit password gennem en OpenSSL-krypteret forbindelse, der ikke er blevet opdateret med sikkerhedspatch'et, risikerer du at vise dit password for en hacker.
Opmærksomheden giver en både sund og naturlig anledning til at overveje, om truslen kan påvirke den generelle Microsoft infrastruktur, herunder især Windows og IIS.
Heldigvis er truslen ikke noget, vi ser meget til i Danmark, og det skyldes, at en default konfiguration af ethvert Microsoft produkt ikke omfatter OpenSSL. Windows kommer med sin egen krypteringskomponent, Secure Channel (i daglig tale SChannel), som ikke er omfattet af truslen. Dette omfatter alle Windows operativsystemer og IIS versioner op til og inklusive IIS 8.5 (som er den aktuelle version) på følgende server operativsystemer:
Windows Server 2003
Windows Server 2003R2
Windows Server 2008
Windows Server 2008R2
Windows Server 2012
Windows Server 2012R2
Microsoft konti (det tidligere Windows Live ID), Microsoft Azure, Office 365 og alle andre Microsoft skyservices er heller ikke omfattet af truslen.
Eneste mulighed for, at være omfattet af truslen, er derfor, hvis der anvendes OpenSSL fremfor SChannel (f.eks. hvis der køres en Windows-version af Apache eller tilsvarende). For de brugere, der afvikler disse, anbefales det altid at følge de guidelines, der kommer fra den aktuelle udbyder af den berørte software. Dette kan du læse mere om på US Cert her.
Du kan læse Wikipedias uddybende artikel her og det finske sikkerhedsfirma's Codenomicon beskrivelse her.