Drown es la denominación dada a una vulnerabilidad grave con identificador CVE-2016-0800, que afecta a HTTPS  y otros servicios que dependen de SSL y TLS, algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que todos en Internet para navegar por la web, utilizar el correo electrónico, tienda en línea, y enviar mensajes instantáneos y sin terceros ser capaz de leer la comunicación.

DROWN permite a un atacante romper el cifrado y leer o roban comunicaciones sensibles, incluyendo contraseñas, números de tarjetas de crédito, los secretos comerciales o datos financieros. Se estima que un 33% de todos los servidores HTTPS son vulnerables al ataque.

¿Qué pueden conseguir los atacantes?

Cualquier comunicación entre los usuarios y el servidor. Normalmente, esto incluye, pero no se limita a, los nombres de usuario y contraseñas, números de tarjetas de crédito, correos electrónicos, mensajes instantáneos y documentos sensibles. En algunos escenarios comunes, un atacante también puede hacerse pasar por un sitio web seguro e interceptar o modificar el contenido que el usuario ve.

¿Quién es vulnerable?

Sitios web, servidores de correo y otros servicios TLS-dependientes están en riesgo de ataque Drown, y muchos sitios populares se ven afectados. Se utilizó el escaneo de todo el Internet para medir la cantidad de sitios son vulnerables:

Vulnerables al Divulgación (marzo 1)

HTTPS - TOP un millón de dominios 25%

HTTPS - Todos los sitios de confianza para el explorador 22%

HTTPS - Todos los Sitios 33%

Los operadores de los servidores vulnerables tienen que tomar medidas. No hay nada práctico que los navegadores o usuarios finales pueden hacer por su cuenta para proteger contra este ataque.

¿Es mi sitio vulnerable?

Servidores modernos y clientes usan el protocolo de cifrado TLS. Sin embargo, debido a errores de configuración, muchos servidores también siguen soportando SSLv2, un precursor de la era de 1990 a TLS. Este soporte no importaba, en la práctica, ya que los clientes no-actualizados realmente utilizan SSLv2. Por lo tanto, a pesar de que SSLv2 se sabe que es inseguro, hasta ahora, simplemente soportar SSLv2 no se considera un problema de seguridad, ya que los clientes no lo usaron. Drown demuestra que el solo soporte de SSLv2 es una amenaza para los servidores y clientes modernos. Drown permite a un atacante descifrar conexiones modernas TLS entre clientes y servidores actualizados mediante el envío de sondas a un servidor que soporta SSLv2 y utiliza la misma clave privada.