OpenSSL Heartbleed Lücke und SharePoint
avatar

Am Dienstag (08.04.2014) wurde ein kritischer Fehler in der Crypto Bibliothek OpenSSL entdeckt, mit dem bis zu 64k aus dem Arbeitsspeicher des Servers gelesen werden können. Dadurch kann der Private Schlüssel vom Server kopiert werden ohne das man dies bemerkt. Details finden sie z.b. bei Heise. Mit dem privaten Schlüssel lassen sich alle Verbindungen entschlüsseln die kein Perfect Forward Secrecy verwenden.

Die Situation

Was hat die OpenSource SSL Bibliothek OpenSSL mit SharePoint bzw. dem Windows Server zu tun? Eine direkte Verknüpfung gibt es natürlich nicht, da Microsoft in Windows den eigenen SChannel Crypto Stack verwendet und von dieser Lücke nicht betroffen ist.

Allerdings verwenden viele Reverse Proxy, Firewall und Security Appliances die OpenSSL Bibliothek. Bei den meisten SharePoint Veröffentlichungen wird die Farm durch einen Reverse Proxy, Firewall oder eine passende Security Appliance durchgeführt. Dies dient der Sicherheit der SharePoint Farm. Da dabei so gut wie immer eine SSL Terminierung auf dem Gateway passiert, kann der Fehler auch ihre SharePoint Veröffentlichung betreffen. Auf der Seite http://filippo.io/Heartbleed/ können sie ihrem Gateway testen.

Auf der anderen Seite stehen die beliebten Wildcard Zertifikate (*.Firma.tld). Diese finden schnell Verbreitung innerhalb der Umgebung und teilen sich den gleichen privaten Schlüssel. So reicht ein einzelnes betroffenes System um die Verschlüsselung aller Dienste zu kompromitieren.

Was nun?

Sollte ihr Gateway betroffen sein oder sie nutzen ein Wildcard Zertifikat, dass auf einem betroffenen Systemverwendet wurde gilt ihre Verschlüsselung außer bei der Verwendung von Perfect Forward Secrecy als gebrochen! Verbindungen die PFS verwendet haben sind weiterhin sicher, da bei jeder verbindung ein neuer privater Schlüssel generiert wird. Allerdings muss der Browser dies unterstützen und der Server auch anbeiten, was üblicherweise nicht der Fall ist.

  1. Schalten sie die Veröffentlichung der Umgebung ab, um weiteren Schaden abzuwenden.
  2. Aktualisieren sie alle betroffenen Systeme mit einer aktualisierten Version von OpenSSL. Der Hersteller ihrer Software sollte bereits ein Update bereitstellen.
  3. Erstellen sie neue private Schlüssel und damit neue Zertifikate für alle betroffenen Systeme.
  4. Aktivieren sie Perfect Forward Secrecy um bei einem zukünftigen Schlüsselverlust die Verschlüsselung der Daten zu gewährleisten.

Eine gute Hilfe für die richtige Verwendung der SSL Verschlüsselung finden sie unter: https://bettercrypto.org/

Auf der Webseite https://www.ssllabs.com/ssltest/ können sie ihren Server testen und erhalten Tipps.

Ein Gedanke zu “OpenSSL Heartbleed Lücke und SharePoint
avatar

  1. Pingback: OpenSSL Heartbleed Lücke und SharePoint - SharePoint Blogs in German - Bamboo Nation

Schreibe einen Kommentar