Windows server 2012 R2服務器出現RC4套件漏洞缺陷的處理方案

本文轉載自查看原文 2021-05-18 10:37 2608 漏洞分析

漏洞成因

RC4這套加密方法是在20世紀末期被研究出來並在2000年左右被大量的網站所使用，但是在02年出現了漏洞且持續了13年才被一個外國大佬所發現。

成因總結來說:就是加密方式太老了，長時間更換網站加密方式導致了攻擊者可以進行中間人攻擊，能夠有效地進行大量用戶的嗅探監聽和會話劫持。

漏洞影響

攻擊者可以在特定環境下只通過嗅探監聽就可以還原采用RC4保護的加密信息中的純文本，導致賬戶、密碼、信用卡信息等重要敏感信息暴露，並且可以通過中間人對用戶進行會話劫持同時可以獲取到網站服務器證書信息。

漏洞發現

總結下來，網上的方法

在線檢測
nmap
openssl
testssl.sh
curl

1、在線檢測

直接在對應的在線檢測網站中輸入您要檢測的URL，此類的網站比如https://www.ssllabs.com/ssltest/analyze.html

2、nmap

nmap -sV -p 443 --script=ssl-enum-ciphers HOST(目標IP或域名)

3、openssl

openssl s_client -connect HOST(目標IP或域名) -cipher RC4 [-servername HOST(目標IP或域名)]

執行后如果可以獲取到服務器的證書即說明RC4套件存在，漏洞存在。

使用此方法需要注意，本地客戶端的openssl工具版本不能太高，因為高版本不包含RC4這種有漏洞的密碼套件，測試需要一個低版本的openssl工具。（執行openssl ciphers 查看是否有RC4套件，如果有再進行以上命令的測試）

如果目標地址無法通過IP訪問（只能通過域名才能正常訪問），那么上面的命令就需要加上后面括號里的servername參數，將域名加上（這一點是個坑，我也是通過wireshake抓包比較出來的。）

4、testssl.sh

使用testssl.sh工具進行測試（其實底層還是調用的openssl）

./testssl.sh -4 HOST(目標IP或域名)

5、curl

使用curl工具指定RC4去請求目標，如果正常返回頁面即表示漏洞存在

curl URL --ciphers RC4 [--tlsv1;tlsv1.1;tls1.2;sslv2;sslv3]

漏洞修復

對於Windows server 2012 R2服務器，需要修改注冊表鍵值，進行禁用

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

嫌麻煩的話，直接創建一個txt文件，比如rc4.txt，保存后修改后綴為reg，雙擊執行即可修改好注冊表。

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

對於Windows 2012 R2之前的Windows版本，需要安裝個補丁，具體操作可以參考：https://support.microsoft.com/zh-cn/topic/microsoft-安全公告-用於禁用-rc4-的更新-479fd6f0-c7b5-0671-975b-c45c3f2c0540

對於windows server 2012 R2搭建的ADFS服務器，必須更改生產環境中的所有ADFS服務器。如果要使其生效，需要重新啟動服務器。可以參考一下文章：https://docs.microsoft.com/zh-cn/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Windows Server 2012 R2搭建IIS服務器 Windows Server 2012 R2 配置FTP服務器 Windows Server 2012 R2 設置 smtp 服務器 Windows Server 2012 R2搭建IIS服務器 Windows Server 2012 R2 安裝DNS服務器 Windows服務器安全加固實戰（Windows Server 2008 R2和Windows Server 2012） Windows Server 2012 R2 服務器管理器介紹和配置使用浪潮服務器NF84260M3安裝Windows server 2012 R2 RAID配置 windows server 2012 r2服務器登錄密碼重置雲服務器Windows Server 2012 R2 或 2016 無法安裝 .NET Framework 3.5