Esta vulnerabilidad está basada en protocolo de cifrado TLS en Internet Information Server.
Las versiones TLS 1.0 y TLS 1.1 están obsoletas frente a TLS 1.2
Se hace necesario habilitar TLS 1.2 y deshabilitar las versiones anteriores.
¿Como reconocer esta vulnerabilidad? Con el comando nmap como root:
sudo nmap --script vuln xxx -oN archivo siendo: - xxx : IP del servidor a analizar - archivo: Para guardar la salida. El resultado será paracido a esto: Diffie-Hellman Key Exchange Insufficient Group Strength | State: VULNERABLE | Transport Layer Security (TLS) services that use Diffie Hellman groups | of insufficient strength, especially those using one of a few commonly | shared groups, may be susceptible to passive eavesdropping attacks. | Check results: | WEAK DH GROUP 1 | Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA | Modulus Type: Safe prime | Modulus Source: RFC2409/Oakley Group 2 | Modulus Length: 1024 | Generator Length: 1024 | Public Key Length: 1024 | References: |_ https://weakdh.org
Para ver como configurar TLS 1.2 y deshabilitar cifrados anteriores ir al post: https://www.alcaide.info/habilitar-protocolo-de-cifrado-tls-1-2