Tijdelijke oplossingen voor TLS-storingen, time-outs in Windows-systemen

We hebben het gehad over de TLS-handdruk, en hoe het kan mislukken?. We hebben ook aangegeven dat er veel TLS-storingen waren opgetreden omdat Microsoft iets probeerde te repareren. Een beveiligingsupdate CVE-2019-1318 heeft ervoor gezorgd dat de recente is uitgerold voor TLS en SSL. Het heeft ertoe geleid dat TLS-verbindingen met tussenpozen mislukken of lang duren en resulteren in een time-out. In dit bericht zullen we de tijdelijke oplossingen voor TLS-storingen en time-outs in Windows-systemen delen.

De volgende fouten komen vaak voor vanwege dit aanhoudende probleem:

• Het verzoek is afgebroken: Kan SSL/TLS-beveiligd kanaal niet maken
• Fout 0x8009030f
• Er is een fout vastgelegd in het systeemgebeurtenislogboek voor SHANNEL-gebeurtenis 36887 met waarschuwingscode 20 en de beschrijving: 'Er is een fatale waarschuwing ontvangen van het externe eindpunt. De door het TLS-protocol gedefinieerde fatale waarschuwingscode is 20.?”

Welke versies van Windows worden beïnvloed door TLS-storingen?

De kwetsbaarheid kan de aanvaller een kans geven om een ​​man-in-the-middle-aanval uit te voeren. Dit is verholpen door de update en het resulteerde in TLS-storingen, time-outs in Windows-systemen.

Microsoft wees erop dat dit alleen gebeurt wanneer de apparaten TLS-verbindingen proberen te maken met apparaten zonder ondersteuning voor de Extended Master Secret-extensie. Als de apparaten de ondersteunde versie hebben, gebeurt dit niet. Hier zijn de Windows-versies die vanaf nu zijn aangetast:

1. Windows 10 versie 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

Lijst met Windows-updates wordt beïnvloed door de beveiligingsupdate

Bij elke laatste cumulatieve update (LCU) of maandelijkse updatepakketten die op 8 oktober 2019 of later zijn uitgebracht voor de betrokken platforms, kan dit probleem optreden:

1. KB4517389 LCU voor Windows 10, versie 1903.
2. KB4519338 LCU voor Windows 10, versie 1809 en Windows Server 2019.
3. KB4520008 LCU voor Windows 10, versie 1803.
4. KB4520004 LCU voor Windows 10, versie 1709.
5. KB4520010 LCU voor Windows 10, versie 1703.
6. KB4519998 LCU voor Windows 10, versie 1607 en Windows Server 2016.
7. KB4520011 LCU voor Windows 10, versie 1507.
8. KB4520005 maandelijks updatepakket voor Windows 8 Windows.1 en Windows Server 2012 R2.
9. KB4520007 maandelijks updatepakket voor Windows Server 2012.
10. KB4519976 maandelijks updatepakket voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
11. KB4520002 maandelijks updatepakket voor Windows Server 2008 SP2 SP
12. KB4519990 Alleen-beveiligingsupdate voor Windows 8.1 en Windows Server 2012 R2.
13. KB4519985 Beveiligingsupdate voor Windows Server 2012 en Windows Embedded 8 Standard.
14. KB4520003 Alleen-beveiligingsupdate voor Windows 7 SP1 en Windows Server 2008 R2 SP1
15. KB4520009 Alleen-beveiligingsupdate voor Windows Server 2008 SP2

Tijdelijke oplossingen voor TLS-storingen, time-outs in Windows

Volgens Microsoft zijn er drie manieren om TLS-storingen en time-outs op te lossen.

1. Schakel EMS in op zowel client als server
2. TLS_DHE_* coderingssuites verwijderen
3. EMS in-/uitschakelen op Windows 10/Windows Server

Houd er rekening mee dat er nadelen zijn aan de tijdelijke oplossingen, vooral vanuit het oogpunt van beveiliging.

1] Schakel EMS in op zowel client als server

Omdat we weten dat als beide kanten EMS hebben geïnstalleerd, het probleem zich niet voordoet, dus de oplossing ligt voor de hand.  Hoewel EMS standaard is ingeschakeld voor elke release na 8 oktober 2019, zorg er dan voor dat u dit doet: Ondersteuning voor Extend Master Secret (EMS)-extensie inschakelen.

Als u een IT-beheerder bent, zorg er dan voor dat u EMS-hervatting volledig ondersteunt zoals gedefinieerd door RFC 762727.

2] TLS_DHE_* coderingssuites verwijderen

Als het besturingssysteem geen EMS ondersteunt, moet de IT-beheerder de TLS_DHE_*-coderingssuites verwijderen uit de lijst met coderingssuites in het besturingssysteem van het TLS-clientapparaat. Volledige documentatie voor het prioriteren van Schannel Cipher Suites is beschikbaar.

Dat gezegd hebbende, dit is een tijdelijke oplossing, en als u ze uitschakelt, betekent dit alleen dat u een man-in-the-middle-aanval uitnodigt

3] Schakel EMS in/uit op Windows 10/Windows Server

Als u voor een TLS-probleem EMS op uw computer had uitgeschakeld, gebruik dan de registerinstellingen op zowel de server als de client om dit in te schakelen.

• Register-editor openen
• Navigeer naar HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Op TLS-server: DisableServerExtendedMasterSecret: 0
  • Op TLS-client: DisableClientExtendedMasterSecret: 0

Als ze niet beschikbaar zijn, kunt u ze maken.

Ik hoop dat deze tijdelijke oplossingen nuttig waren om het probleem met TLS tijdelijk op te lossen. Houd updates in de gaten die worden uitgerold om dit probleem op te lossen