• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst Problem bei Vulnerability Scan

righter

Member
Hallo

Wir haben ein ganz neu aufgesetztes NSP auf Windows Server 2022.
Beim Vulnerability Scan wird jetzt folgender Punkt bemängelt:

Code:
********************************************************************************************************************
SSL/TLS: Renegotiation DoS Vulnerability (CVE-2011-1473, CVE-2011-5094)
********************************************************************************************************************

The following indicates that the remote SSL/TLS service is affected:

Protocol Version | Successful re-done SSL/TLS handshakes (Renegotiation) over an existing / already established SSL/TLS connection
----------------------------------------------------------------------------------------------------------------------------------
TLSv1.2          | 10


********************************************************************************************************************
Solution Type:
Vendorfix
Users should contact their vendors for specific patch information.

  A general solution is to remove/disable renegotiation capabilities altogether from/in the affected
  SSL/TLS service.
 
Hallo,
soweit ich es weiß, nutzt NSP die Implementierung von Windows, Schannel. Somit müsstest du das Finding auch bei einem Windows Server z.B. mit Internet Information Server (IIS) auch haben.

Abgesehen davon,
a) welche Rollen von NSP sind auf dem Server installiert?
b ) Welches Tool schlägt bei euch an, Tenable?


Gruß,
Daniel
 
Das was Daniel schreibt ist richtig. Das TLS-Handling inkl. aller CipherSuites kommt von Windows. Diese Lücke muss durch ein Windows Patch geschlossen werden.
 
Hallo

Es ist die Gateway Rolle -> Es ist nur Port 25 davon betroffen, 443 des Webportals meckert er da nicht an, also keine Windows IIS Implementierung :-)
Wir scannen mit Greenbone
 
Das ist spannend, denn an allen Ecken verwenden wir Schannel von Windows. Sowohl auf dem Port 25 als auch 443. Die in Windows aktivierten CipherSuites sind die ausschlaggebenden für den Betrieb von NSP.
 
Ok habs via CLI getestet, dass ist ein False Positive des Scanners.

Danke für die Inputs

Code:
miri@ram-pc007:~$ openssl s_client -connect mx2.XXXX.net:25
CONNECTED(00000003)
40C782B25F700000:error:0A00010B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:354:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 320 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
 
Zur Ergänzung des Themas:

Um eine renegotiation im Windows Server gänzlich abzuschalten (Server wie Client Seitig) können folgende Registry Einträge gesetzt werden:
Code:
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL' -name 'DisableRenegoOnServer' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL' -name 'AllowInsecureRenegoClients' -value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL' -name 'AllowInsecureRenegoServers' -value '0' -PropertyType 'DWord' -Force | Out-Null

Damit wird dann auch per SCHANNEL das ganze nicht mehr angeboten und solch simplen Scanner Tests werden grün =)
 
Zurück
Oben