安全公告
Microsoft 安全咨询2718704
未经授权的数字证书可能允许欺骗
发布时间: 2012 年 6 月 3 日 |更新时间:2012 年 6 月 13 日
版本: 1.1
常规信息
执行摘要
Microsoft 知道使用从 Microsoft 证书颁发机构派生的未经授权的数字证书进行主动攻击。 未经授权的证书可用于欺骗内容、执行网络钓鱼攻击或执行中间人攻击。 此问题会影响 Microsoft Windows 的所有受支持版本。
Microsoft 正在为所有受支持的 Microsoft Windows 版本提供更新。 此更新会吊销以下中间 CA 证书的信任:
- Microsoft 强制许可中间 PCA (2 个证书)
- Microsoft 强制许可注册机构 CA (SHA1)
建议。 对于受支持的 Microsoft Windows 版本,Microsoft 建议客户使用更新管理软件立即应用更新,或者使用 Microsoft 更新服务检查更新。 有关详细信息,请参阅 此公告的“建议的操作” 部分。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2718704 |
受影响的软件和设备
此公告讨论了以下受影响的软件和设备。
| 受影响的软件 |
|---|
| 操作系统 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 |
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Windows 7 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的 Windows Server 2008 R2 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 面向基于 Itanium 系统的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 服务器核心安装选项 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
| 受影响的设备 |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
常见问题
为什么此公告于 2012 年 6 月 13 日修订?
Microsoft 修订了此公告,以通知客户,在进一步调查后,Microsoft 已确定 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备不受此问题影响。
公告的范围是什么?
此公告的目的是通知客户 Microsoft 已确认 Microsoft 已颁发两个未经授权的证书,并正用于主动攻击。 在我们调查期间,发现第三个证书颁发机构颁发了具有弱密码的证书。
Microsoft 已针对解决该问题的所有受支持的 Microsoft Windows 版本发布了更新。
此更新是否解决了任何其他未经授权的数字证书?
是的,除了解决此公告中所述的三个未经授权的证书外,此更新是累积的,并且解决了先前公告中所述的未经授权的数字证书: Microsoft 安全咨询2524375、 Microsoft 安全咨询2607712和 Microsoft 安全顾问2641690。
Windows 8 使用者预览版是否受此公告中解决的问题的影响?
是的。 此更新适用于 Windows 8 使用者预览版。 建议使用 Windows 8 使用者预览版的客户将更新应用到其系统。 这些更新仅适用于Windows 更新。
Windows 8 版本预览版是否受此公告中解决的问题影响?
是的。 此更新适用于 Windows 8 版本预览版。 建议使用 Windows 8 版本预览版的客户将更新应用到其系统。 这些更新仅适用于Windows 更新。
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其拥有者、其用途、过期时间等信息。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)?
签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
导致此问题的原因是什么?
Microsoft 知道使用从 Microsoft 证书颁发机构派生的未经授权的数字证书进行主动攻击。 未经授权的证书可用于欺骗内容、执行钓鱼攻击或执行中间人攻击。 此问题会影响 Microsoft Windows 的所有受支持版本。
攻击者可能使用此问题执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击或执行中间人攻击。
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
Microsoft 在解决此问题时有什么帮助?
我们更新了“不受信任的证书存储”,以删除受影响 Microsoft 证书颁发机构的信任。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
有关如何查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
在 “证书 MMC”管理单元中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| Microsoft 强制许可中间 PCA | Microsoft 根颁发机构 | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft 强制许可中间 PCA | Microsoft 根颁发机构 | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Microsoft 强制许可注册机构 CA (SHA1) | Microsoft 根证书颁发机构 | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
建议的操作
对于受支持的 Microsoft Windows 版本
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2718704更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或者想要手动安装知识库(KB)2718704更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2718704。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2012 年 6 月 3 日):已发布公告。
- V1.1(2012 年 6 月 13 日):通知客户 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备不受此问题影响。
生成于 2014-04-18T13:49:36Z-07:00