Per il momento codici exploit in grado di attaccare la vulnerabilità sanabile mediante l’applicazione dell’aggiornamento Microsoft MS14-066, distribuito in occasione del recente “patch day” di novembre, non sono ancora apparsi in Rete (vedere Patch day Microsoft di novembre: 14 aggiornamenti e MS14-066, patch critica soprattutto in ambito server).
Stando a quanto rivela ISC, però, sono al momento in corso diversi tentativi di sfruttare la lacuna di sicurezza ed è stato pubblicato uno script bash (eseguibile su piattaforma Linux/Unix) per scoprire le macchine vulnerabili.
MS14-066, un aggiornamento problematico: malfunzionamenti con il protocollo TLS 1.2
Se, da un lato, l’applicazione dell’aggiornamento MS14-066 consente di mettere al sicuro le proprie macchine dal concreto rischio di attacco (che può portare all’esecuzione di codice nocivo), l’ultima novità è che la stessa patch arrecherebbe però un problema di altra natura.
Alcuni utenti hanno infatti segnalato l’impossibilità di effettuare connessioni sicure (HTTPS) utilizzando TLS 1.2, versione più recente del protocollo che offre la possibilità di instaurare un canale di comunicazione sicuro tra client e server (e viceversa) garantendo autenticazione, integrità dei dati e cifratura.
In caso di problemi, in attesa del rilascio di un’ulteriore patch correttiva, Microsoft suggerisce di disattivare – dal registro di sistema di Windows – il supporto di alcune versioni del protocollo di cifratura. Tutte le indicazioni per procedere in tal senso sono riportate a questo indirizzo, al paragrafo Known issues with this security update.
Per sapere tutto sulla cifratura dei dati utilizzando il protocollo HTTPS, suggeriamo la lettura dell’articolo Disattivare SSL 3.0 e proteggere i dati personali dall’attacco POODLE.