Microsoft wydał poradnik bezpieczeństwa 977377, w którym ostrzega przed luką w implementacji TLS/SSL w systemie Windows, która może pozwolić na spoofing.
Problem dotyczy wszystkich klienckich i serwerowych systemów Windows poczynając od wersji 2000. Błąd jest jednak niebezpieczny jedynie w sytuacji, gdy serwery IIS skonfigurowane są do wzajemnego uwierzytelniania (czyli wymagają także certyfikatu klienta), co nie jest ani domyślną, ani popularną konfiguracją. Ponadto do przeprowadzenia pomyślnego ataku atakujący musi wcześniej przeprowadzić atak typu man-in-the-middle wykorzystując słabość w innej części infrastruktury, np. w systemie DNS. Jeśli mimo wszystko ktoś czuje się zagrożony, Microsoft prezentuje dwa sposoby na obejście problemu - ustawienie opcji SSLAlwaysNegoClientCert (spowoduje to żądanie certyfikatu klienta przed każdym połączeniem) lub poprawkę KB977377 wyłączającą renegocjację TLS/SSL. Nie wszędzie niestety obejścia te można zastosować, niektóre aplikacje wymagają pełnej funkcjonalności do poprawnej pracy.
Microsoft informuje, że problem jest publicznie znany, ale jak dotąd nie zanotowano żadnego ataku wykorzystującego lukę. Aktualnie firma analizuje problem i wkrótce wyda kolejne informacje.