Ataque DROWN (CVE-2016-0800).

O DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), CVE-2016-0800, foi divulgado a 1 de março de 2016 por Aviram, Schinzel, Somorovsky et al. Trata-se de um ataque cross-protocol: o SSLv2 ainda negoceia suites de cifra RSA de exportação de 40 bits, e o seu handshake revela se um texto cifrado tem um preenchimento PKCS#1 v1.5 correto. Isso transforma um servidor SSLv2 num oráculo de preenchimento de Bleichenbacher. O ponto crucial é que o serviço SSLv2 vulnerável não precisa de ser o alvo — se qualquer serviço partilhar a mesma chave privada/certificado RSA (por exemplo, um servidor SMTP ou IMAP antigo que reutiliza a chave do servidor web), o atacante pode gravar passivamente handshakes TLS modernos e decifrar as chaves de sessão offline.

O ataque geral exigia cerca de 1.000 ligações TLS gravadas e aproximadamente 2^50 operações de trabalho — viável por menos de 440 USD de computação na nuvem na altura. Uma variante muito pior, "special DROWN", explorava uma falha do OpenSSL (CVE-2016-0703) que permitia a um atacante ativo decifrar uma única sessão TLS em minutos num portátil. Os investigadores estimaram que cerca de 33 % de todos os servidores HTTPS eram vulneráveis. Mitigações: desativar o SSLv2 em todos os serviços, atualizar o OpenSSL para 1.0.2g/1.0.1s e nunca reutilizar uma chave privada ou certificado entre endpoints com SSLv2 e endpoints modernos.

flowchart TD
  A[Cliente] -->|Handshake TLS moderno| B[Servidor TLS seguro]
  C[Atacante] -->|Grava passivamente<br/>handshakes cifrados com RSA| B
  C -->|Envia textos cifrados forjados| D[Servidor SSLv2<br/>mesma chave/cert RSA]
  D -->|Respostas do oráculo de preenchimento<br/>cifra de exportação| C
  C --> E[Recupera a chave de sessão TLS<br/>Bleichenbacher / DROWN]
  E --> F[Decifra a sessão capturada<br/>HTTPS / SMTPS / IMAPS]