Soluciones provisionales para fallas de TLS, tiempos de espera en sistemas Windows

Hemos hablado del Apretón de manos TLS, y como puede fallar. También marcamos que habían ocurrido muchas fallas de TLS porque Microsoft intentó arreglar algo. Una actualización de seguridad CVE-2019-1318 ha provocado que la reciente se haya implementado para TLS y SSL. Ha resultado en que las conexiones TLS fallan de forma intermitente o tardan mucho tiempo y dan como resultado un tiempo de espera. En esta publicación, compartiremos las soluciones para las fallas y los tiempos de espera de TLS en los sistemas Windows.

Los siguientes errores son comunes debido a este problema continuo:

• La solicitud fue cancelada: no se pudo crear el canal seguro SSL / TLS
• Error 0x8009030f
• Un error registrado en el registro de eventos del sistema para el evento SCHANNEL 36887 con el código de alerta 20 y la descripción, "Se recibió una alerta fatal desde el punto final remoto. El código de alerta fatal definido por el protocolo TLS es 20.?"

¿Qué versiones de Windows se ven afectadas por las fallas de TLS??

La vulnerabilidad puede darle al atacante la oportunidad de realizar un ataque de intermediario. Esto fue solucionado por la actualización y resultó en fallas de TLS, tiempos de espera en los sistemas Windows.

Microsoft señaló que solo sucede cuando los dispositivos intentan hacer conexiones TLS a dispositivos sin soporte para la extensión Extended Master Secret. Si los dispositivos tienen la versión compatible, entonces no ocurre. Aquí están las versiones de Windows afectadas a partir de ahora:

1. Windows 10, versión 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Paquete de servicio 1 de Windows 7
8. Paquete de servicio 1 de Windows Server 2008 R2
9. Windows Server 2008 Service Pack 2

La lista de actualizaciones de Windows se ve afectada debido a la actualización de seguridad

Cualquier actualización acumulativa (LCU) o paquetes acumulativos mensuales más recientes lanzados el 8 de octubre de 2019 o más tarde para las plataformas afectadas puede experimentar este problema:

1. KB4517389 LCU para Windows 10, versión 1903.
2. KB4519338 LCU para Windows 10, versión 1809 y Windows Server 2019.
3. KB4520008 LCU para Windows 10, versión 1803.
4. KB4520004 LCU para Windows 10, versión 1709.
5. KB4520010 LCU para Windows 10, versión 1703.
6. KB4519998 LCU para Windows 10, versión 1607 y Windows Server 2016.
7. KB4520011 LCU para Windows 10, versión 1507.
8. KB4520005 Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2.
9. KB4520007 Paquete acumulativo mensual de Windows Server 2012.
10. KB4519976 Paquete acumulativo mensual para Windows 7 SP1 y Windows Server 2008 R2 SP1.
11. KB4520002 Paquete acumulativo mensual de Windows Server 2008 SP2
12. KB4519990 Actualización solo de seguridad para Windows 8.1 y Windows Server 2012 R2.
13. KB4519985 Actualización solo de seguridad para Windows Server 2012 y Windows Embedded 8 Standard.
14. KB4520003 Actualización solo de seguridad para Windows 7 SP1 y Windows Server 2008 R2 SP1
15. KB4520009 Actualización solo de seguridad para Windows Server 2008 SP2

Soluciones provisionales para fallas de TLS, tiempos de espera en Windows

Según Microsoft, hay tres formas de corregir fallas y tiempos de espera de TLS.

1. Habilite EMS tanto en el cliente como en el servidor
2. Eliminar conjuntos de cifrado TLS_DHE_ *
3. Habilitar / deshabilitar EMS en Windows 10 / Windows Server

Tenga en cuenta que existen inconvenientes en las soluciones, especialmente desde la perspectiva de la seguridad.

1] Habilite EMS tanto en el cliente como en el servidor

Como sabemos que si ambos lados tienen EMS instalado, entonces el problema no ocurre, por lo que la solución es obvia.  Si bien EMS se ha habilitado de forma predeterminada para cualquier versión posterior al 8 de octubre de 2019, si no, asegúrese de Habilitar la compatibilidad con la extensión Extend Master Secret (EMS).

Si es un administrador de TI, asegúrese de admitir completamente la reanudación de EMS según lo definido por RFC 7627.

2] Eliminar conjuntos de cifrado TLS_DHE_ *

Si el sistema operativo no es compatible con EMS, el administrador de TI debe eliminar los conjuntos de cifrado TLS_DHE_ * de la lista de conjuntos de cifrado en el sistema operativo del dispositivo cliente TLS. Se encuentra disponible la documentación completa para Prioritizing Schannel Cipher Suites.

Dicho esto, se trata de una solución temporal, y deshabilitarlos solo significa que está invitando a un ataque de intermediario

3] Activar / desactivar EMS en Windows 10 / Windows Server

Si, para cualquier problema de TLS, ha desactivado EMS en su computadora, utilice la configuración del registro tanto en el servidor como en el cliente para activarlo.

• Abrir el editor del registro
• Vaya a HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • En el servidor TLS: DisableServerExtendedMasterSecret: 0
  • En el cliente TLS: DisableClientExtendedMasterSecret: 0

Si no están disponibles, puede crearlos.

Espero que estas soluciones hayan sido útiles para solucionar el problema que enfrenta con TLS temporalmente. Esté atento a las actualizaciones que se implementarán para solucionar este problema