Contents
1. Lý do
- TLS là viết tắt của Transport Layer Security. Đây là một dạng giao thức bảo mật (Security Protocol) cung cấp mức độ riêng tư cao, cũng như tính toàn vẹn của dữ liệu khi giao tiếp bằng mạng và Internet
- Thông tin công bố lỗ hổng bảo mật tồn tại trong giao thức Transport Layer Security và giao thức Secure Socket Layer (TLS/SSL) khi thực hiện trong phần mã hóa của Microsoft .NET Framework. Kẻ tấn công đã thành công khai thác lỗ hổng này có thể giải mã được mã hoá TLS/SSL lưu lượng.
- Hệ thống Microsoft Exchange Server sử dụng TLS/SSL nên có lỗ hổng bảo mật liên quan TLS1.0, TLS1.1 cần phải tắt.
- Hệ thống máy chủ đã cấu hình TLS1.2, nên tất cả máy trạm phải buộc enable, Máy trạm sẽ bị lỗi kết nối Outlook nếu chưa cấu hình enable TLS1.2 dành cho Windows 7
| Windows OS | TLS1.0/1.1 | TLS1.2 | TLS1.3 |
| Windows Server 2012 | Enable | Default | Null |
| Windows Server 2012R2 | Enable | Default | Null |
| Windows Server 2016 | Enable | Default | Null |
| Windows Server 2019 | Enable | Default | Null |
| Windows Server 2022 | Enable | Default | Default |
| Windows 7 | Enable | Disable | Null |
| Windows 10 | Enable | Default | Null |
| Windows 11 | Enable | Default | Default |
2. Mô tả lỗi
Khi setup mới sẽ báo unencrypt còn máy đang sử dụng sẽ báo disconnect trên Windows 7 khi dùng Outlook. Do Windows 7 không mặc định bật TLS1.2
3. Phạm Vi Ảnh hưởng
- Tất cả máy trạm Windows 7 chưa bật TLS1.2.
- Microsoft Outlook 2010, 2013, 2016
- Windows 10, 11 không ảnh hưởng nên khuyến cáo cần nâng cấp mới máy tính trạm để giải đáp ứng tính bảo mật và tương thích của hệ thống từ máy trạm đến máy chủ Exchange.
4. Hướng dẫn xử lý
4.1. Yêu cầu bắt buộc
- Yêu cầu Windows Pro 7 SP1, Link tải Update Windows 7 SP1, nếu là Windows 7 SP1 bỏ qua bước này.
Bật Windows Update Windows 7, Link tả bản vá nếu chạy Windows 7 bị lỗi update (80072EFE)
Link tải https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138612 tùy theo phiên bản 32bit hoặc 64 bit chọn download và cài đặt reset.
Dự phòng thêm link Windows 7- KB3138612 32bit x86 tại đây
Dự phòng thêm link Windows 7 KB3138612 64bit x64 tại đây
- Cài đặt update bản vá KB3140245 để sử dụng hỗ trợ TLS tùy theo phiên bản chọn download và cài đặt reset.
https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245
Khởi động lại máy tính
Lưu ý nếu các bước yêu cầu trên đã đáp ứng thì thực hiện tiếp các bước tiếp theo.
5. CÁCH 1: TẠO THANH GHI (REGESTRY) HỖ TRỢ WINHTTP VÀ TLS
5.1.Tạo DefaultSecureProtocols cho WinHTTP
Vào Start -> Run-> gỏ lệnh regedit-> Run as Administrator
Tìm đến đường dẫn sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Nếu Windows 7 x64bit
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Tạo Giá trị DefaultSecureProtocols
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
“DefaultSecureProtocols”=dword:00000a00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
“DefaultSecureProtocols”=dword:00000a00
5.2.TẠO CÁC THANH GHI SCHANNEL HỖ TRỢ TLS 1.2
Đường dẫn thanh ghi Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Nếu chưa có tạo new->key và đổi tên là TLS1.2
Tạo tiếp key -> New key, đổi tên new key -> Client
Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: DisabledByDefault và cho giá trị là 0 ở mục Hexa.
Chọn key Client-> Nhập phải chuột Tạo DWORD Value (32-bit) name: Enable
DWORD value: 1
Link script tại đây
6. CÁCH 2: CÓ THỂ CHẠY SCRIPTS BẰNG POWERSHELL
Link 1 tải tại đây
Link 2 dự phòng
Set-ExecutionPolicy Bypass -Scope Process ; .\install-kb.ps1Set-ExecutionPolicy Bypass -Scope Process ; .\tls-reg-edit.ps1
REBOOT Windows 7 kiểm tra lại
7. CÁCH 3: CHẠY FILE Easyfix
Link 1 tải tại đây
Link 2 dự phòng
8. CÁCH 4 CHẠY ỨNG DỤNG IIS CRYTO
Link download tải tại đây
Link 2 dự phòng
Chọn vào TLS1.2 Server và Client
9. KIỂM TRA CHẠY LẠI OUTLOOK
Lưu ý quan trọng nếu thực hiện 1 trong các cách trên đã thành công thì không cần thực hiện hết cách nếu đã giải quyết được.
10. LỜI KẾT KHUYẾN CÁO TỪ IT
Trên đây là lỗi rất bảo mật rất nghiêm trọng liên quan đến TLS1.0, TLS1.1, SSL3.0, Dữ liệu người dùng có thể bị tấn công và bị mất dữ liệu thông qua lỗ hổng này. IT chỉ hỗ trợ giải quyết 1 phần liên quan đến lỗ hổng này. Cần có phương án nâng cấp máy tính và setup hệ thống mới nhất để tránh mất dữ liệu và tấn công mã hóa.
Thông tin từ hãng Microsoft:
- https://support.microsoft.com/en-us/topic/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-winhttp-in-windows-c4bd73d2-31d7-761e-0178-11268bb10392
- https://www.nartac.com/Products/IISCrypto/Download
- https://download.microsoft.com/download/0/6/5/0658B1A7-6D2E-474F-BC2C-D69E5B9E9A68/MicrosoftEasyFix51044.msi
- https://kb.pavietnam.vn/huong-dan-enable-giao-thuc-tls-1-2.html
- https://www.papaki.com/support/kb/article/how-can-i-enable-tls-v12-in-outlook-on-windows-7-2206.html
Phương Nguyễn Viết. Vui lòng ghi rõ nguồn gốc khi copy