Cách fix lỗi TLS/SSL Server is enabling the beast attack vulnerability

1. Lỗi TLS/SSL Server is enabling the beast attack vulnerability là gì?

Lỗi “TLS/SSL Server is enabling the BEAST attack vulnerability” là một vấn đề bảo mật liên quan đến các phiên bản cũ của giao thức SSL/TLS (Secure Sockets Layer/Transport Layer Security). BEAST là viết tắt của “Browser Exploit Against SSL/TLS,” và đó là một kỹ thuật tấn công bảo mật được tìm thấy trong SSL 3.0 và các phiên bản cũ hơn của TLS.

Kỹ thuật tấn công BEAST tập trung vào việc giải mã các gói tin SSL/TLS bằng cách sử dụng một lỗ hổng trong việc sắp xếp các block mã hóa của chúng. Nó cho phép tin tặc có thể lấy được thông tin nhạy cảm như các phiên làm việc trực tuyến, mật khẩu và thông tin cá nhân của người dùng.

2. Nguyên nhân gây ra lỗi TLS/SSL Server is enabling the beast attack vulnerability là gì?

Lỗi “TLS/SSL Server is enabling the BEAST attack vulnerability” được gây ra chủ yếu bởi việc sử dụng các phiên bản cũ và không an toàn của giao thức SSL/TLS, cụ thể là SSL 3.0 và các phiên bản cũ hơn của TLS (chẳng hạn TLS 1.0). Các phiên bản cũ này có một số lỗ hổng bảo mật, và BEAST attack là một trong những cách tấn công được phát hiện trong các phiên bản này.

Lý do chính dẫn đến sự tồn tại của lỗi BEAST là:

1. Kỹ thuật tấn công BEAST: BEAST attack tập trung vào việc giải mã các gói tin SSL/TLS bằng cách sử dụng một lỗ hổng trong cách mã hóa block của chúng trong các phiên bản cũ của SSL/TLS.
2. Sự tồn tại của phiên bản cũ: Các máy chủ web và trình duyệt vẫn sử dụng các phiên bản cũ của SSL/TLS, chẳng hạn SSL 3.0 hoặc TLS 1.0, trong một thời gian dài sau khi các phiên bản an toàn hơn đã được phát triển và triển khai. Điều này tạo điều kiện cho việc tấn công BEAST.

3. Cách fix lỗi TLS/SSL Server is enabling the beast attack vulnerability?

Đầu tiên các bạn vào theo đường dẫn Start > ‘gpedit.msc’ > Computer Configuration > Admin Templates > Network > SSL Configuration Settings > SSL Cipher Suite Order – Sau đó dán nội dung sau:

TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_RC4_128_MD5,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

Chạy các lệnh PowerShell sau với tư cách quản trị viên:

#make TSL 1.2 protocol reg keys
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2”
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server”
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client”

# Enable TLS 1.2 for client and server SCHANNEL communications
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server” -name “Enabled” -value 1 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server” -name “DisabledByDefault” -value 0 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client” -name “Enabled” -value 1 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client” -name “DisabledByDefault” -value 0 -PropertyType “DWord”

# Make and Enable TLS 1.1 for client and server SCHANNEL communications
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1”
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server”
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server” -name “Enabled” -value 1 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server” -name “DisabledByDefault” -value 0 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client” -name “Enabled” -value 1 -PropertyType “DWord”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client” -name “DisabledByDefault” -value 0 -PropertyType “DWord”

# Disable SSL 2.0 (PCI Compliance)
md “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server”
new-itemproperty -path “HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server” -name Enabled -value 0 -PropertyType “DWord”

Sau khi chạy tập lệnh, bạn có thể chạy ‘regedit’