SSL DROWN Attack Vulnerability (Decrypting RSA with Obsolete and Weakened eNcryption)
Descripción: La vulnerabilidad descifra RSA con eNcrytion obsoleto o debilitado afectando HTTPS y otros servicios que dependen de protocolos SSL y TLS, por tanto un atacante puede romper el cifrado para robar información confidencial (contraseñas, datos financieros y correos electrónicos) o suplantar sitios web.
CVE: CVE-2016-0128
Factor de Riesgo: Medio
Valor CVSS Base: 4
Solución:
- Deshabilitar SSL 2.0
- En la pantalla inicio escriba regedit.exe y ejecútelo como administrador, en el editor de registro diríjase a:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\, para deshabilitar crea un nuevo valor DWORD en la subclave de servidor del protocolo y establece el valor DWORD en “00 00 00 00”.
Referencia:
https://support.microsoft.com/en-us/help/187498/how-to-disable-pct-1.0,-ssl-2.0,-ssl-3.0,-or-tls-1.0-in-internet-information-services
https://support.microsoft.com/en-us/help/245030/how-to-restrict-the-use-of-certain-cryptographic-algorithms-and-protocols-in-schannel.dll
No Comment
You can post first response comment.