本文內容
MSRC ppDocument 範本
Microsoft 資訊安全摘要報告 3009008
SSL 3.0 中的資訊安全風險可能會導致資訊洩漏
發行日期:2014 年 10 月 14 日 | 更新日期:2015 年 4 月 14 日
版本: 3.0
一般資訊
提要
Microsoft 已發現一項遭到公開的詳細資訊,該資訊描述一個利用 SSL 3.0 資訊安全風險的新方法。這是遍及業界的資訊安全風險,影響的是 SSL 3.0 通訊協定本身,並非 Windows 作業系統所特有。所有支援版本的 Microsoft Windows 都實作這個通訊協定,並且受到這項資訊安全風險的影響。Microsoft 沒有發現嘗試利用已報告的資訊安全風險所進行之攻擊。考慮到攻擊案例,此資訊安全風險對客戶而言不會被認定為高風險。
我們正在積極地與 Microsoft 主動保護計畫 (MAPP) 的合作夥伴合作,提供資訊讓他們用來對客戶提供更廣泛的保護。
Microsoft 會在本調查完成後採取適當的措施以保護客戶。依據客戶的需求,我們可能會經由每月發行程序提供資訊安全更新,或提供週期性更新以外的資訊安全更新。
緩和因素 :
攻擊者必須先提出數百個 HTTPS 要求,攻擊才有可能成功。
TLS 1.0、TLS 1.1、TLS 1.2、和不使用 CBC 模式的所有加密套件不受影響。
建議 。 請參閱此諮詢的 [建議動作] 區段,以取得停用 SSL 3.0 的因應措施。Microsoft 建議客戶使用這些因應措施來測試其用戶端和服務在 SSL 3.0 上的使用,並開始依據結果進行移轉。
摘要報告詳細資料
問題參照
如需這個問題的詳細資訊,請參閱下列參考資料:
受影響的軟體
------------
本次摘要報告討論下列軟體。
**受影響的軟體**
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
適用於 Itanium 型系統的 Windows Server 2003 SP2
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
適用於 32 位元系統的 Windows Server 2008 Service Pack 2
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
適用於 32 位元系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows 7 Service Pack 1
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
適用於 32 位元系統的 Windows 8
適用於 x64 型系統的 Windows 8
適用於 32 位元系統的 Windows 8.1
適用於 x64 型系統的 Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Server Core 安裝選項
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
Windows Server 2012 (Server Core 安裝)
Windows Server 2012 R2 (Server Core 安裝)
摘要報告常見問題集
------------------
**我使用 11 版以外的 Internet Explorer。如何保護我的系統免受此資訊安全風險影響?**
所有受支援版本 Microsoft Windows 中的 Internet Explorer 11 已停用 SSL 3.0。如果您使用不同版本的 Internet Explorer,請參閱<建議的因應措施>一節,了解可將哪些因應措施套用至系統,讓系統免受此資訊安全風險影響。
**摘要報告的範圍為何?**
此摘要報告旨在通知客戶,Microsoft 已發現一項詳細資訊,該資訊描述一項會利用 SSL 3.0 資訊安全風險的新方法。這是一個資訊洩漏資訊安全風險。
**攻擊者如何利用這項資訊安全風險?**
在攔截式 (MiTM) 攻擊中,攻擊者可能會降級一個經過加密的 TLS 工作階段,強制用戶端使用 SSL 3.0,然後強制瀏覽器執行惡意程式碼。此程式碼會將數個要求傳送到目標 HTTPS 網站,在該網站中,若有一個先前通過驗證的工作階段存在,便會自動傳送 Cookie。若要利用此資訊安全風險,這是必要的條件。攻擊者接下來將能攔截此 HTTPS 流量,並利用 SSL 3.0 中 CBC 封鎖加密的缺點,能對部分的加密流量 (例如驗證 Cookie) 進行解密。
**攻擊者可能會利用這項資訊安全風險採取什麼行動?**
成功利用此資訊安全風險的攻擊者,可將部份的加密流量解密。
**造成這項資訊安全風險的原因為何?**
此資訊安全風險是由 SSL 3.0 中使用的 CBC 加密演算法的缺點所造成。
**什麼是 SSL?**
安全通訊端層 (SSL) 是提供網際網路通訊安全的加密通訊協定。SSL 會將透過網路傳輸的資料加密,方法是採用加密以保護隱私權,並使用金鑰控制的訊息驗證碼提供訊息可靠度。
**什麼是 TLS?**
傳輸層安全性 (TLS) 是標準通訊協定,可用來在網際網路或內部網路上提供安全的 Web 通訊。它可以讓用戶端驗證伺服器,也可以讓伺服器驗證用戶端。它也可以透過加密通訊提供安全通道。TLS 是最新版本的安全通訊端層 (SSL) 通訊協定。
**TLS 是否會受到此問題影響?**
否。這個問題專屬於 SSL 3.0。
**這是業界普遍面臨的問題嗎?**
是。此資訊安全風險存在於 SSL 3.0 通訊協定的設計中,並不限於 Microsoft 的實作。
建議動作
--------
### 套用因應措施
因應措施指的是無法徹底修正問題,但有助於在資訊安全更新推出之前封鎖已知攻擊媒介的設定變更。
- **停用 SSL 3.0 和啟用 Internet Explorer 中的 TLS 1.0、TLS 1.1、和 TLS 1.2**
您可以藉由修改 Internet Explorer 中的進階資訊安全設定,來停用 Internet Explorer 中的 SSL 3.0 通訊協定。
若要變更用於 HTTPS 要求的預設通訊協定版本,請執行下列步驟:
1. 在 Internet Explorer **\[工具\]** 功能表上,按一下 **\[網際網路選項\]**。
2. 在 **\[網際網路選項\]** 對話方塊中,按一下 **\[進階\]** 索引標籤。
3. 在**「安全」**類別中、取消核取 **\[使用 SSL 3.0\]**,並核取 **\[使用 TLS 1.0\]**、**\[使用 TLS 1.1\]**,以及 **\[使用 TLS 1.2\]** (如果有提供)。
4. **注意** 請務必核取連續版本。未選取連續的版本 (例如,核取 TLS 1.0 和 1.2,但未核取 1.1) 可能會導致連線錯誤。
5. 按一下 **\[確定\]**。
6. 結束 Internet Explorer 後再重新啟動。
**注意** 套用此因應措施後,Internet Explorer 將無法連線到僅支援 SSL 至 3.0,而不支援 TLS 1.0、TLS 1.1 和 TLS 1.2 的網頁伺服器。
> [!Note]
> 請參閱 [Microsoft 知識庫文件編號 3009008](https://support.microsoft.com/zh-tw/kb/3009008/zh-tw),以運用自動化 Microsoft Fix It 解決方案來停用 Internet Explorer 中的 SSL 3.0。
**如何復原因應措施**。請依照下列步驟,在 Internet Explorer 中啟用 SSL 3.0。
1. 在 Internet Explorer 的 **\[工具\]** 功能表,按一下 **\[網際網路選項\]**。
2. 在 **\[網際網路選項\]** 對話方塊中,按一下 **\[進階\]** 索引標籤。
3. 在 **\[安全性\]** 類別中,核取 **\[使用 SSL 3.0\]**。
4. 按一下 **\[確定\]**。
5. 結束 Internet Explorer 後再重新啟動。
- **在群組原則中停用 SSL 3.0 和啟用 Internet Explorer 中的 TLS 1.0、TLS 1.1 和 TLS 1.2**
藉由修改「關閉加密支援群組原則物件」,您可以透過群組原則停用 Internet Explorer 中的 SSL 3.0 通訊協定。
1. 開啟「群組原則管理」。
2. 選擇要修改的群組原則物件,按一下滑鼠右鍵,然後選擇 **\[編輯\]。**
3. 在「群組原則管理編輯器」中,瀏覽下列設定:
電腦設定 -> 系統管理範本 -> Windows 元件 -> Internet Explorer -> 網際網路控制台 -> 進階的頁面 -> 關閉加密支援
4. 連按兩下**「關閉加密支援」**設定以編輯設定。
5. 按一下 **\[啟用\]。**
6. 在「選項」視窗中,變更安全通訊協定的組合設定為:「**使用 TLS 1.0、TLS 1.1 和 TLS 1.2**」。
7. **注意** 請務必核取連續版本。未選取連續的版本 (例如,核取 TLS 1.0 和 1.2,但未核取 1.1) 可能會導致連線錯誤。
8. 按一下 **\[確定\]。**
**注意** 系統管理員應將 GPO 連結到他們環境中的適當 OU,以確認適當套用此群組原則。
**注意** 套用此因應措施後,Internet Explorer 將無法連線到僅支援 SSL 至 3.0,而不支援 TLS 1.0、TLS 1.1 和 TLS 1.2 的網頁伺服器。
**如何復原因應措施**。請依照下列步驟以停用 SSL 3.0 原則設定:
1. 開啟「群組原則管理」。
2. 選擇要修改的群組原則物件,按一下滑鼠右鍵,然後選擇 **\[編輯\]。**
3. 在「群組原則管理編輯器」中,瀏覽下列設定:
電腦設定 -> 系統管理範本 -> Windows 元件 -> Internet Explorer -> 網際網路控制台 -> 進階的頁面 -> 關閉加密支援
4. 連按兩下**「關閉加密支援」**設定以編輯設定。
5. 按一下 **\[停用\]**。
6. 按一下 **\[確定\]。**
- **在 Windows 中停用 SSL 3.0**
**針對伺服器軟體**
您可以依照下列步驟,停用 Windows 上的 SSL 3.0 通訊協定支援:
1. 按一下 **\[開始\]**,再按一下 **\[執行\]**,輸入 **regedt32** 或 **regedit**,然後按一下 **\[確定\]**。
2. 在「登錄編輯程式」中,找到下列登錄機碼:
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
```
**注意** 如果沒有完整的登錄機碼路徑,您可以自行建立,藉由展開可用機碼,然後使用 **\[編輯\]** 功能表中的 **\[新增\]** -> **\[機碼\]** 選項。
3. 在 **\[編輯\]** 功能表上,按一下 **\[新增值\]**。
4. 在 **\[資料類型\]** 清單中,按一下 **\[DWORD\]** 。
5. 在 **\[數值名稱\]** 方塊中,輸入 **Enabled**,然後按一下 **\[確定\]**。
**注意** 如果出現此值,請按兩下這個值以編輯其目前的值。
6. 在 **\[編輯 DWORD (32 位元) 值\]** 對話方塊中,輸入 **0** 。
7. 按一下 **\[確定\]**。將電腦重新開機。
**注意** 此因應措施會停用所有安裝在系統上 (包括 IIS) 之所有伺服器軟體的 SSL 3.0。
**注意** 套用此因應措施後,只能依賴 SSL 3.0 的用戶端將無法與伺服器進行通訊。
**如何復原因應措施**。請依照下列步驟,在 Windows 伺服器軟體中停用 SSL 3.0:
1. 開啟登錄編輯程式。
2. 找到並按一下下列登錄子機碼:
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
```
3. 在 \[編輯\] 功能表上,按一下 **\[刪除\]**。
4. 出現提示時請按一下 **\[是\]**。
5. 結束「登錄編輯程式」。
6. 重新啟動系統。
**針對用戶端軟體**
您可以依照下列步驟,停用 Windows 上的 SSL 3.0 通訊協定支援:
1. 按一下 **\[開始\]**,再按一下 **\[執行\]**,輸入 **regedt32** 或 **regedit**,然後按一下 **\[確定\]**。
2. 在「登錄編輯程式」中,找到下列登錄機碼:
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
```
**注意** 如果沒有完整的登錄機碼路徑,您可以自行建立,藉由展開可用機碼,然後使用 **\[編輯\]** 功能表中的 **\[新增\]** -> **\[機碼\]** 選項。
3. 在 **\[編輯\]** 功能表上,按一下 **\[新增值\]**。
4. 在 **\[資料類型\]** 清單中,按一下 **\[DWORD\]** 。
5. 在 **\[數值名稱\]** 方塊中,輸入 **Enabled**,然後按一下 **\[確定\]**。
**注意** 如果出現此值,請按兩下這個值以編輯其目前的值。
6. 在 **\[編輯 DWORD (32 位元) 值\]** 對話方塊中,輸入 **0** 。
7. 按一下 **\[確定\]**。將電腦重新開機。
**注意** 此因應措施會停用所有安裝在系統上之用戶端軟體的 SSL 3.0。
**注意** 套用此因應措施後,此機器上的用戶端應用程式將無法與其他僅支援 SSL 3.0. 的伺服器進行通訊。
**如何復原因應措施**。請依照下列步驟,在 Windows 用戶端軟體中停用 SSL 3.0:
1. 開啟登錄編輯程式。
2. 找到並按一下下列登錄子機碼:
```
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
```
3. 在 \[編輯\] 功能表上,按一下 **\[刪除\]**。
4. 出現提示時請按一下 **\[是\]**。
5. 結束「登錄編輯程式」。
6. 重新啟動系統。
### 其他建議動作
- **保護您的電腦**
我們持續鼓勵客戶依照「保護您的電腦」中的指引啟用防火牆、取得軟體更新,以及安裝防毒軟體。如需更多資訊,請參閱[Microsoft Safety & Security Center](https://www.microsoft.com/security/default.aspx)。
- **維持 Microsoft 軟體的最新狀態**
執行 Windows 軟體的使用者應套用最新的 Microsoft 資訊安全更新,以確保電腦受到盡可能完善的保護。如果您不確定軟體是否為最新,請造訪 [Microsoft Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-tw),掃描電腦尋找可用的更新,並安裝提供給您的任何高優先順序的更新。如果您啟用了自動更新,並將其設成為提供 Microsoft 產品更新,更新就會在發行時傳送給您,但您仍應確認更新程式已確實安裝。
感謝
----
Microsoft [感謝](https://technet.microsoft.com/zh-tw/security/gg309157.aspx)下列人士協助我們一同保護我們的客戶:
- 感謝 [Google Security Team](https://googleonlinesecurity.blogspot.com/) 的 Bodo Möller 與我們合作解決此問題
其他資訊
--------
### Microsoft 主動保護計畫 (MAPP)
為了增強客戶的資訊安全保護,Microsoft 將在每月發行資訊安全更新之前,提前向重要資訊安全軟體提供者提供資訊安全風險資訊。資訊安全軟體提供者可利用此資訊安全風險資訊,透過其資訊安全軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統),為客戶提供更新的保護措施。如果要判斷是否有資訊安全軟體提供者的主動保護可用,請造訪由 [Microsoft 主動保護計畫 (MAPP) 合作夥伴](https://technet.microsoft.com/zh-tw/security/dn467918) (英文) 上列出的計畫合作夥伴所提供的主動保護計畫網站。
### 意見反應
- 您可以填寫 Microsoft 技術支援服務表格 ([客戶服務:與我們連絡](https://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech)) 來提供意見反應。
### 支援
- 美國及加拿大地區客戶可洽詢[資訊安全支援](https://go.microsoft.com/fwlink/?linkid=21131)以取得技術支援。如需更多資訊,請參閱[Microsoft 說明及支援](https://support.microsoft.com/?ln=zh-tw)。
- 不同國家的客戶,可以從當地的 Microsoft 分公司取得支援。如需更多資訊,請參閱[國際支援](https://go.microsoft.com/fwlink/?linkid=21155)。
- [Microsoft TechNet 資訊安全](https://technet.microsoft.com/zh-tw/security/default.aspx)網站提供了有關 Microsoft 產品資訊安全的其他資訊。
### 免責聲明
本摘要報告中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。
### 修訂
- V1.0 (2014 年 10 月 14 日): 摘要報告發行。
- V1.1 (2014 年 10 月 15 日):修訂摘要報告,以包括在 Windows 中停用 SSL 3.0 通訊協定的因應措施。
- V2.0 (2014 年 10 月 29 日):修訂摘要報告,以宣佈 SSL 3.0 的取代方法,說明在 Windows 伺服器和 Windows 用戶端上停用 SSL 3.0 的因應措施,以及宣布 Internet Explorer 的 Microsoft Fix it 解決方案已可使用。如需更多資訊,請參閱[知識庫文件編號 3009008](https://support.microsoft.com/zh-tw/kb/3009008/zh-tw)。
- V2.1 (2014 年 12 月 9 日):Microsoft 宣佈 Internet Explorer 11 中 SSL 3.0 後援警告已可使用。如需更多資訊,請參閱[知識庫文件編號 3013210](https://support.microsoft.com/zh-tw/kb/3013210/zh-tw)。
- V2.2 (2015 年 2 月 10 日):Microsoft 宣佈 Internet Explorer 11 中的 SSL 3.0 後援嘗試預設為停用。如需更多資訊,請參閱[知識庫文章 3021952](https://support.microsoft.com/zh-tw/kb/3021952/zh-tw)。
- V2.3 (2015 年 2 月 16 日): 諮詢內容經修改,以宣佈 Internet Explorer 11 將 SSL 3.0 預設為停用的計劃日期。
- V3.0 (2015 年 4 月 14 日) 修訂摘要報告,宣佈在 2015 年 4 月 14 日發行安全性更新 3038314,以讓 Internet Explorer 11 預設停用 SSL 3.0,並新增如何復原因應措施的指示。
*頁面產生時間:2014-02-16 15:49Z-08:00。*