Schannel是最新被發現存在SSL/TLS安全問題的加密庫，本文中專家Michael Cobb介紹了這個WinShock漏洞以及企業應該如何降低風險。

　　在過去一年中，SSL/TLS協議出于各種錯誤的原因占據著新聞頭條。

蘋果的SecureTransport、OpenSSL、GnuTLS和Mozilla的NSS等加密軟件庫中出現了各種漏洞和部署問題，這讓供應商和管理員都忙于解決這些潛在嚴重漏洞，以緩解對網絡、用戶及其數據的威脅。

其中微軟的Secure Channel或者說Schannel是最新被發現容易受到攻擊的加密庫。

在本文中，筆者將詳細介紹Schannel中的WinShock漏洞、為什么它比其他SSL/TLS漏洞更嚴重以及緩解這種威脅的最佳方法。

Schannel和WinShock漏洞

Schannel是微軟的SSL/TLS協議部署，類似于OpenSSL在Linux系統中的使用。這個組件存在于所有微軟Windows平臺，并且大多數需要SSL/TLS加密和身份驗證服務(例如IIS、Active Directory、OWA、Exchange、IE和Windows Update)的Windows軟件都在使用它。

在11月，微軟發布了安全公告MS14-066來解決Schannel中發現的漏洞，該漏洞被稱為WinShock(現在似乎每個嚴重漏洞都需要一個引人注目和令人震驚的名字)。

通過發送特制的網絡流量，遠程攻擊者可以利用WinShock漏洞，在服務器或客戶端執行任意代碼，從而允許攻擊者通過惡意軟件感染目標。攻擊者還可以在不需要身份驗證的情況下通過未請求的網絡流量來發動攻擊，這正是該漏洞非常嚴重的原因。

修復WinShock

WinShock應該盡快被修復。根據微軟表示，目前還沒有已知的緩解或解決辦法;它甚至可以繞過增強緩解體驗工具包(EMET)。

在企業中，最易受攻擊的Windows設備是連接到互聯網(例如Web和郵件服務器)的設備，因此這些設備最應該受到保護。其次，企業應該專注于修復內部服務器，然后是移動設備，最后是內部客戶端。

管理員應該假設所有運行Windows的設備都易受到攻擊，并使用資產注冊表來確保沒有遺漏設備，因為攻擊者可能監聽被遺忘的VPN、即時通訊和其他軟件來獲取入站SSL連接。企業應確保更新網絡防御來檢測和阻止對該漏洞的利用;思科已經為MS14-066發布了很多Snort規則。

WinShock的嚴重程度

對于WinShock漏洞的真正性質存在一些混淆，例如它是如何被發現以及被誰發現，CVE-2014-6321是否實際上涵蓋了Schannel中的多個漏洞等。

這個更新通過糾正Schannel審查特制數據包的方式解決該漏洞，同時，微軟還對現有TLS加密套件進行了更改。雖然提供更強大的加密功能，但這些加密功能給運行Server 2008 R2和Windows Server 2012的一些系統造成了問題，因為TLS 1.2連接被撤銷，服務變得間歇性反應遲鈍。

隨后微軟重新發布了MS14-066更新，新的TLS加密在默認情況下未啟用。這次更新(編號3018238)將通過MS14-066的安全更新自動安裝。如果系統已經安裝了MS14-066更新，該更新將會重新提供以確保安裝新的加密更新。安裝這些新的更新將需要重新啟動。

影響所有Windows服務器版本的任何遠程代碼執行漏洞都可能比Heartbleed更糟糕，這是因為受影響系統的數量非常多。然而，與Heartbleed相比，WinShock似乎更難以被利用，更容易被修復，所以它應該更容易被控制。

盡管微軟對WinShock的漏洞利用可能性標記為“1”—這表明攻擊者可能很快會開發出漏洞利用，但微軟估計攻擊者很難創建出可靠的漏洞利用。(微軟的補丁并不包括源代碼，但攻擊者將會進行逆向工程來了解漏洞以開發可行的攻擊)。

當Heartbleed和POODLE漏洞為公眾所知時，它們的利用代碼已經存在，并且漏洞利用的要求相對不高。這就是說，它們都只是導致信息泄露，而不是遠程代碼執行。

現在的大問題是，從目前的情形來看，WinShock是Windows XP和Windows 2000的永遠漏洞，因為這些系統不再受微軟支持。這是企業從這些過時的操作系統升級的另一個強大的動力。如果微軟不放寬政策，并為這些版本發布安全補丁，管理員將需要隔離和移除運行這些操作系統的機器，它們都可能被利用且不可修復。

WinShock和Heartbleed等漏洞顯示了保持最新資產登記的重要性，這樣的話，當發現關鍵漏洞時，管理員將知道哪些設備或軟件可能存在風險。這讓修復優先排序更快和更容易，并且可以確保不會有設備或系統被遺漏。