Soluções alternativas para falhas de TLS, tempos limite em sistemas Windows

Falamos sobre o Aperto de mão TLSe como pode falhar. Também notamos que muitas falhas de TLS aconteceram porque a Microsoft tentou consertar algo. Uma atualização de segurança CVE-2019-1318 causou a atualização recente de TLS e SSL. Isso resultou em falhas de conexão TLS intermitentes ou de longa duração, causando um tempo limite. Neste artigo, compartilharemos as soluções para falhas e tempos limite de TLS em sistemas Windows.

Os seguintes erros são comuns devido a esse problema persistente:

• Solicitação abortada: não foi possível criar canal seguro SSL/TLS
• Erro 0x8009030f
• Um erro foi registrado no log de eventos do sistema para o evento SCHANNEL 36887 com o código de alerta 20 e a descrição “Alerta fatal recebido da extremidade remota. O código de alerta fatal definido pelo protocolo TLS é 20”.

Quais versões do Windows são afetadas por falhas de TLS?

A vulnerabilidade pode dar ao invasor a oportunidade de realizar um ataque man-in-the-middle. Isso foi corrigido pela atualização e causou falhas de TLS, tempos limite em sistemas Windows.

A Microsoft observou que isso só acontece quando os dispositivos tentam estabelecer conexões TLS com dispositivos sem suporte para a extensão Extended Master Secret. Se os dispositivos tiverem a versão compatível, isso não acontece. Aqui está a lista de versões do Windows afetadas até o momento:

1. Windows 10 versão 1607
2. Servidor Windows 2016
3. janelas 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Servidor Windows 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

A lista de atualizações do Windows é afetada devido a uma atualização de segurança

Qualquer atualização cumulativa (LCU) ou rollup mensal lançado em 8 de outubro de 2019 ou posterior para plataformas afetadas pode enfrentar este problema:

1. KB4517389 LCU para Windows 10, versão 1903.
2. KB4519338 LCU para Windows 10, versão 1809 e Windows Server 2019.
3. LCU KB4520008 para Windows 10, versão 1803.
4. LCU KB4520004 para Windows 10, versão 1709.
5. LCU KB4520010 para Windows 10, versão 1703.
6. KB4519998 LCU para Windows 10, versão 1607 e Windows Server 2016.
7. LCU KB4520011 para Windows 10, versão 1507.
8. Rollup mensal KB4520005 para Windows 8.1 e Windows Server 2012 R2.
9. KB4520007 Rollup Mensal para Windows Server 2012.
10. KB4519976 Rollup Mensal para Windows 7 SP1 e Windows Server 2008 R2 SP1.
11. KB4520002 Rollup Mensal para Windows Server 2008 SP2
12. Atualização somente de segurança KB4519990 para Windows 8.1 e Windows Server 2012 R2.
13. Atualização somente de segurança KB4519985 para Windows Server 2012 e Windows Embedded 8 Standard.
14. Atualização somente de segurança KB4520003 para Windows 7 SP1 e Windows Server 2008 R2 SP1
15. Atualização somente de segurança KB4520009 para Windows Server 2008 SP2

Soluções alternativas para falhas de TLS, tempos limite no Windows

De acordo com a Microsoft, existem três maneiras de corrigir falhas e tempos limite de TLS.

1. Habilite o EMS no cliente e no servidor
2. Remover conjuntos de cifras TLS_DHE_*
3. Ativar/desativar o EMS no Windows 10/Windows Server

Observe que as soluções alternativas têm desvantagens, especialmente do ponto de vista da segurança.

1]Habilite o EMS no cliente e no servidor

Como sabemos que se ambos os lados tiverem o EMS instalado, o problema não ocorre, então a solução é óbvia. Embora o EMS tenha sido ativado por padrão para qualquer versão após 8 de outubro de 2019, caso contrário, certifique-se de Habilite o suporte para a extensão Extend Master Secret (EMS).

Se você for um administrador de TI, certifique-se de oferecer suporte total ao failover do EMS conforme definido pela RFC 7627.

2]Remova os conjuntos de cifras TLS_DHE_*

Se o sistema operacional não oferecer suporte a EMS, o administrador de TI deverá remover os conjuntos de codificação TLS_DHE_* da lista de conjuntos de codificação no sistema operacional do dispositivo cliente TLS. A documentação completa para Priorizando Schannel Cipher Suites está disponível.

Dito isto, esta é uma correção temporária, e desativá-los significa apenas que você está convidando um ataque man-in-the-middle.

3]Ativar/Desativar EMS no Windows 10/Windows Server

Se um problema de TLS tiver desabilitado o EMS em seu computador, use as configurações de registro no servidor e no cliente para habilitá-lo.

• Abra o Editor do Registro
• Vá para HKLMSystemCurrentControlSetControlSecurityProvidersSchannel
  • No servidor TLS: DisableServerExtendedMasterSecret: 0
  • No cliente TLS: DisableClientExtendedMasterSecret: 0

Se eles não estiverem disponíveis, você poderá criá-los.

Espero que essas soluções tenham sido úteis para corrigir temporariamente o problema que você está enfrentando com o TLS. Fique de olho nas atualizações que serão lançadas para resolver esse problema.

Lírio: Diferença entre os métodos de criptografia TLS e SSL.