Informační zpravodaj zabezpečení společnosti Microsoft (2641690)

Falešné digitální certifikáty mohou umožnit falšování obsahu

Publikováno: 10. listopadu 2011 | Aktualizováno: 19. ledna 2012

Verze: 3.0

Obecné informace

Shrnutí

Společnost Microsoft získala informace, že společnost DigiCert Sdn. Bhd, malajská podřízená certifikační autorita (CA) společností Entrust a GTE CyberTrust, vystavila 22 certifikátů se slabými 512bitovými klíči. V případě poškození mohou tyto slabé šifrovací klíče útočníkovi umožnit podvodné použití těchto certifikátů k umístění falešného obsahu, provedení útoků typu phishing nebo provedení útoků prostředníkem proti všem uživatelům webových prohlížečů včetně aplikace Internet Explorer. Přestože se nejedná o chybu zabezpečení produktu společnosti Microsoft, má tento problém vliv na všechny podporované verze systému Microsoft Windows.

Společnost DigiCert Sdn. Bhd není přidružená ke společnosti DigiCert, Inc., která je členem programu Microsoft Root Certificate Program.

Společnost Microsoft poskytuje aktualizaci pro všechny podporované verze systému Microsoft Windows, které odvolávají důvěru společnosti DigiCert Sdn. Bhd. Tato aktualizace odvolává důvěru následujících dvou zprostředkujících certifikátů certifikační autority:

Digisign Server ID (Enrich) vystavený certifikační autoritou Entrust.net (2048)
Digisign Server ID (Enrich) vystavený certifikační autoritou GTE CyberTrust Global Root

Doporučení: Společnost Microsoft doporučuje zákazníkům okamžitě nainstalovat aktualizaci prostřednictvím softwaru pro řízení aktualizací nebo s využitím služby Microsoft Update. Další informace naleznete v části Doporučené postupy tohoto zpravodaje.

Známé problémy. Článek 2641690 znalostní báze Microsoft Knowledge Base popisuje aktuálně známé problémy, s nimiž se mohou zákazníci setkat při instalaci této aktualizace. V článku jsou také uvedena doporučená řešení těchto problémů.

Podrobnosti o informačním zpravodaji

Odkazy na problém

Další informace o tomto problému získáte pomocí následujících odkazů:

Odkazy	Identifikace
Článek znalostní báze Microsoft Knowledge Base	2641690

Postižený software a zařízení

Tento informační zpravodaj se zabývá následujícím softwarem a zařízeními.

Postižený software
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 pro systémy s procesorem Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 pro 32bitové systémy Service Pack 2*
Windows Server 2008 pro systémy s procesorem x64 Service Pack 2*
Windows Server 2008 pro systémy s procesorem Itanium Service Pack 2
Windows 7 pro 32bitové systémy a Windows 7 pro 32bitové systémy Service Pack 1
Windows 7 pro systémy s procesorem x64 a Windows 7 pro systémy s procesorem x64 Service Pack 1
Windows Server 2008 R2 pro systémy s procesorem x64 a Windows Server 2008 R2 pro systémy s procesorem x64 Service Pack 1*
Windows Server 2008 R2 pro systémy s procesorem Itanium a Windows Server 2008 R2 pro systémy s procesorem Itanium Service Pack 1

*Instalace Server Core obsahující chybu zabezpečení Tento informační zpravodaj se vztahuje k podporovaným edicím systému Windows Server 2008 nebo Windows Server 2008 R2, ať již byl nebo nebyl instalován pomocí možnosti instalace Server Core. Další informace o této možnosti instalace naleznete v článcích na webu TechNet Managing a Server Core Installation (Správa instalace Server Core) a Servicing a Server Core Installation (Obsluha instalace Server Core). Možnost instalace Server Core se nevztahuje na určité edice systému Windows Server 2008 a Windows Server 2008 R2; další informace naleznete v části Porovnání možností instalace Server Core.

Postižená zařízení
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Nejčastější dotazy

Proč byl tento informační zpravodaj 19. ledna 2012 revidován?
Společnost Microsoft tento informační zpravodaj revidovala, aby oznámila vydání aktualizace pro zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5. Další informace získáte v článku 2641690 znalostní báze Microsoft Knowledge Base.

Proč byl tento informační zpravodaj 16. listopadu 2011 revidován?
Společnost Microsoft revidovala tento informační zpravodaj, aby oznamoval opětovné vydání aktualizace KB2641690 pro systém Windows XP Professional x64 Edition Service Pack 2 a všechny podporované edice systému Windows Server 2003. Revidovaná aktualizace řeší problém, který zaznamenali zákazníci používající službu Windows Server Update Services (WSUS), v níž nebyla použitelnost aktualizace řádně zjištěna.

Zákazníci se systémem Windows XP Professional x64 Edition Service Pack 2 a všemi podporovanými edicemi systému Windows Server 2003 by měli nainstalovat znovu vydanou verzi aktualizace KB2641690 kvůli ochraně před použitím podvodných certifikátů popsaných v tomto zpravodaji. Zákazníků se systémem Windows XP Service Pack 3 a podporovanými edicemi systémů Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2 se toto opětovné vydání netýká.

Většina zákazníků má povolenu automatickou aktualizaci, takže nebude muset podnikat žádná opatření, protože opětovně vydaná aktualizace KB2641690 se stáhne a nainstaluje automaticky.

Co je cílem tohoto informačního zpravodaje?
Účelem tohoto informačního zpravodaje je informovat zákazníky, že společnost DigiCert Sdn. Bhd vystavila 22 certifikátů se slabými 512bitovými klíči. Tyto slabé klíče umožnily napadení některých certifikátů. Společnost Microsoft odvolala důvěryhodnost této podřízené certifikační autority v aktualizaci, která přesouvá dva zprostředkující certifikáty certifikační autority do úložiště nedůvěryhodných certifikátů společnosti Microsoft.

Jaká byla příčina problému?
Společnost Entrust, certifikační autorita v rámci programu Microsoft Root Certificate Program, upozornila společnost Microsoft, že jedna z jejích podřízených certifikačních autorit, společnost DigiCert Sdn. Bhd, vystavila 22 certifikátů se slabými 512bitovými klíči. Tato podřízená certifikační autorita dále vystavila certifikáty bez odpovídajících rozšíření použití nebo informací o odvolání. To představuje porušení požadavků programu Microsoft Root Certificate Program.

Neexistují žádné informace o tom, že byly některé certifikáty vystaveny podvodným způsobem. Kryptograficky slabé klíče však umožnily duplikování některých certifikátů a jejich podvodné použití. Společnosti Entrust a GTE CyberTrust odvolaly zprostředkující certifikáty certifikační autority vystavené pro společnost DigiCert Sdn. Bhd. Společnost Microsoft poskytuje aktualizaci, která odvolává důvěru těchto dvou zprostředkujících certifikátů, aby dále chránila zákazníky.

Jak by mohl útočník duplikovat certifikát?
Digitální podpis může vytvořit pouze osoba, která vlastní soukromý klíč certifikátu. Útočník by se mohl pokusit soukromý klíč odhadnout a pomocí matematických postupů určit, zda je jeho odhad správný. Náročnost úspěšného uhodnutí soukromého klíče je úměrná počtu bitů použitých v klíči. Proto platí, že čím je soukromý klíč delší, tím déle útočníkovi trvá, než ho uhodne. Pomocí moderního hardwaru lze úspěšně uhodnout 512bitové klíče za velmi krátkou dobu.

Jakým způsobem by útočník mohl využít podvodné certifikáty?
Útočník by mohl 512bitové certifikáty použít k falšování obsahu, provádění útoků typu phishing nebo útoků prostředníkem proti všem uživatelům webových prohlížečů včetně aplikace Internet Explorer.

Jak společnost Microsoft pomáhá s řešením tohoto problému?
I když tento problém není výsledkem potíží s jakýmkoli produktem společnosti Microsoft, vydali jsme aktualizaci, která přesouvá dva zprostředkující certifikáty společností Entrust a GTE CyberTrust do úložiště nedůvěryhodných certifikátů společnosti Microsoft. Společnost Microsoft zákazníkům doporučuje okamžitou instalaci aktualizace.

Co je útok prostředníkem (man-in-the-middle)?
K útoku prostředníkem (man-in-the-middle) dojde v případě, že útočník přesměruje komunikaci mezi dvěma uživateli pomocí svého počítače, aniž by tyto dva komunikující uživatele znal. Jednotliví uživatelé v komunikaci nevědomě odesílají a přijímají data od útočníka, přičemž se domnívají, že komunikují pouze se zamýšleným uživatelem.

Co je certifikační autorita (CA)?
Certifikační autority jsou organizace, které vystavují certifikáty. Stanovují a ověřují pravost veřejných klíčů, které patří lidem nebo jiným certifikačním autoritám, a ověřují identitu osoby nebo organizace, která žádá o certifikát.

Jak se postupuje při odvolání certifikátu?
Existuje standardní postup, který by měl certifikační autoritě umožnit zabránit přijetí certifikátů při jejich použití. Každý vydavatel certifikátů pravidelně generuje seznam odvolaných certifikátů, který obsahuje všechny certifikáty, jež by měly být považovány za neplatné. Každý certifikát by měl obsahovat údaj nazvaný Distribuční bod seznamu CRL (CDP), který označuje místo, kde lze získat seznam odvolaných certifikátů.

Alternativním způsobem ověření identity digitálního certifikátu ve webových prohlížečích je využití protokolu OCSP (Online Certificate Status Protocol). Protokol OCSP umožňuje interaktivní ověřování certifikátu připojením k respondéru OCSP, hostovanému certifikační autoritou (CA), která digitální certifikát podepsala. Každý certifikát by měl obsahovat odkaz na umístění respondéru OCSP prostřednictvím rozšíření Přístup k informacím autority (AIA) v certifikátu. Podstata protokolu OCSP navíc umožňuje vlastnímu webovému serveru poskytnout reakci ověřování pomocí protokolu OCSP klientovi.

Ověřování pomocí protokolu OCSP je ve výchozím nastavení povoleno v aplikaci Internet Explorer 7 a novějších verzích aplikace Internet Explorer v podporovaných edicích systémů Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2. Pokud se ověření pomocí protokolu OCSP v těchto operačních systémech nezdaří, prohlížeč certifikát ověří kontaktováním umístění seznamu CRL.

Některá nasazení v síti mohou bránit online aktualizacím protokolu OCSP nebo seznamu CRL, a proto společnost Microsoft vydala aktualizaci pro všechny verze systému Microsoft Windows, která tyto certifikáty přesouvá do úložiště nedůvěryhodných certifikátů společnosti Microsoft. Přesunutí těchto podvodných certifikátů zajistí, že nebudou důvěryhodné v žádném ze scénářů nasazení v síti.

Další informace o kontrole odvolaného certifikátu naleznete v článku na webu TechNet nazvaném Certificate Revocation and Status Checking (Odvolání certifikátu a kontrola stavu).

Jak poznám, že jsem se setkal(a) s chybou neplatného certifikátu?
Jakmile aplikace Internet Explorer zjistí neplatný certifikát, uživatelům se zobrazí webová stránka se zprávou „Existuje problém s certifikátem zabezpečení tohoto webu.“ Uživatelům se v takovém případě doporučuje webovou stránku zavřít a přejít mimo web.

Tato zpráva se zobrazí pouze v případě, že je certifikát vyhodnocen jako neplatný, například pokud má uživatel povoleno ověřování pomocí seznamu odvolaných certifikátů (CRL) nebo protokolu OCSP (Oline Certificate Status Protocol). Ověřování pomocí protokolu OCSP je ve výchozím nastavení povoleno v aplikaci Internet Explorer 7 a novějších verzích aplikace Internet Explorer v podporovaných edicích systémů Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.

Jak lze po použití aktualizace ověřit certifikáty v úložišti nedůvěryhodných certifikátů společnosti Microsoft?
Informace o zobrazení certifikátů naleznete v článku na webu MSDN s názvem How to: View Certificates with the MMC Snap-in (Postupy: Zobrazení certifikátů pomocí modulu snap-in konzoly MMC).

V oddílu Certificates MMC snap-in (Modul snap-in konzoly MMC certifikátů) ověřte, zda do složky Nedůvěryhodné certifikáty byly přidány následující certifikáty:

Certifikát	Vydavatel	Thumbprint
Digisign Server ID (Enrich)	Certifikační autorita Entrust.net (2048)	‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)	GTE CyberTrust Global Root	‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Doporučené postupy

Podporovaná vydání systému Microsoft Windows

Většina zákazníků má povolenu automatickou aktualizaci, takže nebudou muset podnikat žádná opatření, protože aktualizace KB2641690 se stáhne a nainstaluje automaticky. Zákazníci, kteří nemají povolenu automatickou aktualizaci, musejí vyhledat a nainstalovat tuto aktualizaci ručně. Informace o zvláštních možnostech nastavení automatické aktualizace naleznete v článku 294871 znalostní báze Microsoft Knowledge Base.

Administrátorům a pro instalace v rozlehlých sítích, ale i koncovým uživatelům, kteří si chtějí aktualizaci KB2641690 nainstalovat ručně, doporučuje společnost Microsoft, aby tuto aktualizaci nainstalovali okamžitě pomocí softwaru pro správu aktualizací nebo vyhledáním aktualizací službou Microsoft Update. Další informace o tom, jak aktualizaci nainstalovat ručně, získáte v článku 2641690 znalostní báze Microsoft Knowledge Base.

Zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5

Informace o aktualizaci pro zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5 získáte v článku 2641690 znalostní báze Microsoft Knowledge Base.

Další doporučené postupy

Další informace

Microsoft Active Protections Program (MAPP)

Pro zlepšení ochrany dat svých zákazníků poskytuje společnost Microsoft informace o chybách v zabezpečení všem hlavním dodavatelům softwaru pro zabezpečení, a to vždy ještě před vydáním nové měsíční zprávy o aktualizaci zabezpečení. Dodavatelé softwaru pro zabezpečení tak mohou tyto informace o chybách v zabezpečení využít a poskytnout svým zákazníkům ochranu včasnou aktualizací svých programů a zařízení pro zabezpečení, jako jsou antivirové programy, síťové systémy pro detekci napadení či hostitelské systémy pro prevenci napadení. Informace o dostupnosti aktuálních prostředků aktivní ochrany od jednotlivých dodavatelů softwaru pro zabezpečení naleznete na stránkách aktivní ochrany jednotlivých partnerů programu MAPP. Seznam těchto partnerů naleznete na stránce Microsoft Active Protections Program (MAPP) Partners.

Názory a připomínky

Zpětnou vazbu můžete poskytnout vyplněním formuláře na webu Nápověda a podpora společnosti Microsoft, Zákaznická podpora / Kontaktujte nás.

Technická podpora

Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Další informace o dostupných možnostech technické podpory naleznete na webu Pomoc a podpora společnosti Microsoft.
Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Další informace o možnostech kontaktování společnosti Microsoft v případě, že budete potřebovat mezinárodní technickou podporu, získáte na webu mezinárodní technické podpory.
Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.

Zřeknutí se záruky

Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize

V1.0 (10. listopadu 2011): Informační zpravodaj byl publikován.
V2.0 (16. listopadu 2011): Revidován, aby obsahoval opětovné vydání aktualizace KB2641690. Další informace naleznete v nejčastějších dotazech souvisejících s aktualizací v tomto zpravodaji. Také byl přidán odkaz na článek 2641690 znalostní báze Microsoft Knowledge Base v části Shrnutí.
V3.0 (19. ledna 2012): Revidovaný zpravodaj oznamuje vydání aktualizace pro zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5.