Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 2718704
Neautorizované digitální certifikáty můžou povolit falšování identity
Publikováno: 3. června 2012 | Aktualizováno: 13. června 2012
Verze: 1.1
Obecné informace
Shrnutí
Společnost Microsoft si je vědoma aktivních útoků pomocí neautorizovaných digitálních certifikátů odvozených od certifikační autority společnosti Microsoft. K falšování obsahu, provádění útoků phishing nebo k útokům typu man-in-the-middle je možné použít neautorizovaný certifikát. Tento problém se týká všech podporovaných verzí systému Microsoft Windows.
Společnost Microsoft poskytuje aktualizaci pro všechny podporované verze systému Microsoft Windows. Aktualizace odvolá vztah důvěryhodnosti následujících zprostředkujících certifikátů certifikační autority:
- Microsoft Vynucené licencování zprostředkující PCA (2 certifikáty)
- Certifikační autorita pro registraci licencí (SHA1) vynucovaná microsoftem
Doporučení. U podporovaných verzí systému Microsoft Windows společnost Microsoft doporučuje, aby zákazníci tuto aktualizaci okamžitě použili pomocí softwaru pro správu aktualizací nebo kontrolou aktualizací pomocí služby Microsoft Update . Další informace najdete v části Navrhované akce tohoto poradce.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Reference | Identifikace |
|---|---|
| Článek znalostní báze Microsoft Knowledge Base | 2718704 |
Ovlivněný software a zařízení
Tento poradce popisuje následující ovlivněný software a zařízení.
| Ovlivněný software |
|---|
| Operační systém |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 |
| Windows 7 pro 32bitové systémy |
| Windows 7 pro 32bitové systémy Service Pack 1 |
| Windows 7 pro systémy založené na platformě x64 |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 |
| Windows Server 2008 R2 pro platformu x64 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 |
| Windows Server 2008 R2 pro počítače s procesorem Itanium |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 |
| Možnost instalace jádra serveru |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru) |
| Windows Server 2008 pro systémy x64 s aktualizací Service Pack 2 (instalace jádra serveru) |
| Windows Server 2008 R2 pro systémy s procesorem x64 (instalace jádra serveru) |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) |
| Zařízení, která nejsou ovlivněná |
|---|
| Windows Mobile 6.x |
| Windows Telefon 7 |
| Windows Telefon 7.5 |
Nejčastější dotazy
Proč byl tento poradce revidovaný 13. června 2012?
Společnost Microsoft tento poradce revidovala, aby zákazníky informovala, že po dalším šetření společnost Microsoft zjistila, že zařízení s Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5 nejsou tímto problémem ovlivněna.
Jaký je rozsah poradenství?
Účelem tohoto poradenství je upozornit zákazníky, že Společnost Microsoft potvrdila, že společnost Microsoft vydala dva neautorizované certifikáty a že se používají v aktivních útocích. Během vyšetřování jsme zjistili, že třetí certifikační autorita vydala certifikáty se slabými šiframi.
Společnost Microsoft vydala aktualizaci pro všechny podporované verze systému Microsoft Windows, které tento problém řeší.
Řeší tato aktualizace nějaké jiné neautorizované digitální certifikáty?
Ano, kromě adresování tří neautorizovaných certifikátů popsaných v tomto poradci je tato aktualizace kumulativní a řeší neautorizované digitální certifikáty popsané v předchozích informačních zpravodajích: Poradce pro zabezpečení společnosti Microsoft 2524375, poradce pro zabezpečení společnosti Microsoft 2607712 a poradce pro zabezpečení společnosti Microsoft 2641690.
Týká se problém vyřešený v tomto poradenství ve verzi Preview pro Windows 8 Consumer Preview?
Ano. Tato aktualizace je k dispozici pro verzi Windows 8 Consumer Preview. Zákazníkům s Windows 8 Consumer Preview se doporučuje, aby aktualizace použili na své systémy. Aktualizace jsou dostupné pouze v služba Windows Update.
Týká se problém, který řeší tento poradce, verze Windows 8 Release Preview?
Ano. Tato aktualizace je k dispozici pro verzi Windows 8 Release Preview. Zákazníkům s Windows 8 Release Preview se doporučuje, aby aktualizace nainstalovali do svých systémů. Aktualizace jsou dostupné pouze v služba Windows Update.
Co je kryptografie?
Kryptografie je věda o zabezpečení informací převodem mezi normálním, čitelným stavem (označovaným jako prostý text) a informací, ve kterých jsou data zakrytá (označuje se jako šiferný text).
Ve všech formách kryptografie se hodnota známá jako klíč používá ve spojení s procedurou označovanou jako kryptografický algoritmus k transformaci dat prostého textu na šifrový text. V nejznámějším typu kryptografie, kryptografie s tajným klíčem, se šiferový text transformuje zpět do prostého textu pomocí stejného klíče. V druhém typu kryptografie, kryptografie s veřejným klíčem se však k transformaci šifrového textu zpět na prostý text používá jiný klíč.
Co je digitální certifikát?
V kryptografii veřejného klíče musí být jeden z klíčů, označovaný jako privátní klíč, tajný klíč. Druhý klíč, označovaný jako veřejný klíč, má být sdílen se světem. Musí však existovat způsob, jak vlastník klíče říct světu, komu klíč patří. Digitální certifikáty poskytují způsob, jak to udělat. Digitální certifikát je manipulace s daty, která zabalí veřejný klíč spolu s informacemi o něm – kdo ho vlastní, k čemu může být použit, kdy vyprší platnost atd.
K čemu se používají certifikáty?
Certifikáty se používají především k ověření identity osoby nebo zařízení, ověření služby nebo šifrování souborů. Za normálních okolností si nebudete muset myslet na certifikáty vůbec. Může se ale zobrazit zpráva s oznámením, že platnost certifikátu vypršela nebo je neplatná. V takových případech byste měli postupovat podle pokynů ve zprávě.
Co je certifikační autorita (CA)?
Certifikační autority jsou organizace, které vydávají certifikáty. Zřídí a ověří pravost veřejných klíčů, které patří lidem nebo jiným certifikačním autoritám, a ověří identitu osoby nebo organizace, která žádá o certifikát.
Co je seznam důvěryhodnosti certifikátů (CTL)?
Vztah důvěryhodnosti musí existovat mezi příjemcem podepsané zprávy a podepisovačem zprávy. Jednou z metod vytvoření této důvěryhodnosti je certifikát, elektronický dokument, který ověřuje, že entity nebo osoby jsou tím, za koho se tvrdí. Certifikát je vydán entitě třetí stranou, která je důvěryhodná oběma stranami. Každý příjemce podepsané zprávy se tedy rozhodne, jestli je vystavitel certifikátu podepisující osoby důvěryhodný. CryptoAPI implementovala metodologii, která vývojářům aplikací umožňuje vytvářet aplikace, které automaticky ověřují certifikáty s předdefinovaným seznamem důvěryhodných certifikátů nebo kořenových certifikátů. Tento seznamdůvěryhodných Další informace najdete v článku MSDN o ověření důvěryhodnosti certifikátu.
Co způsobilo problém?
Společnost Microsoft si je vědoma aktivních útoků pomocí neautorizovaných digitálních certifikátů odvozených od certifikační autority společnosti Microsoft. Neoprávněný certifikát se dá použít k falšování obsahu, k útokům phishing nebo k útokům typu man-in-the-middle. Tento problém se týká všech podporovaných verzí systému Microsoft Windows.
Co může útočník použít k problému?
Útočník může tyto certifikáty použít k falšování obsahu, provádění útoků phishing nebo k útokům typu man-in-the-middle.
Co je útok typu man-in-the-middle?
Útok typu man-in-the-middle nastane, když útočník přesměruje komunikaci mezi dvěma uživateli prostřednictvím počítače útočníka bez znalosti dvou komunikujících uživatelů. Každý uživatel v komunikaci neúmyslně odesílá provoz a přijímá provoz od útočníka, a to i když si myslí, že komunikuje jenom s zamýšleným uživatelem.
Co Microsoft dělá, aby vám s řešením tohoto problému pomohl?
Aktualizovali jsme nedůvěryhodné úložiště certifikátů, aby se odebral vztah důvěryhodnosti ovlivněných certifikačních autorit Microsoftu.
Jak můžu po instalaci aktualizace ověřit certifikáty v úložišti nedůvěryhodných certifikátů společnosti Microsoft?
Informace o tom, jak zobrazit certifikáty, naleznete v článku MSDN, Postupy: Zobrazení certifikátů pomocí modulu snap-in MMC.
V modulu snap-in Certifikáty konzoly MMC ověřte, že byly do složky Nedůvěryhodné certifikáty přidány následující certifikáty:
| Certifikát | Vydal(a) | Kryptografický otisk |
|---|---|---|
| Microsoft Vynucené licencování zprostředkující PCA | Kořenová autorita Microsoftu | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Vynucené licencování zprostředkující PCA | Kořenová autorita Microsoftu | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Certifikační autorita pro registraci licencí (SHA1) vynucovaná microsoftem | Kořenová certifikační autorita Microsoftu | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Navrhované akce
Podporované verze Systému Microsoft Windows
Většina zákazníků má povolenou automatickou aktualizaci a nebude muset provést žádnou akci, protože aktualizace KB2718704 se stáhne a nainstaluje automaticky. Zákazníci, kteří nepovolili automatickou aktualizaci, potřebují vyhledat aktualizace a nainstalovat tuto aktualizaci ručně. Informace o konkrétních možnostech konfigurace při automatické aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 294871.
U správců a podnikových instalací nebo koncových uživatelů, kteří chtějí aktualizaci KB2718704 nainstalovat ručně, společnost Microsoft doporučuje, aby tuto aktualizaci okamžitě použili pomocí softwaru pro správu aktualizací nebo aby hledali aktualizace pomocí služby Microsoft Update . Další informace o ruční instalaci aktualizace naleznete v článku znalostní báze Microsoft Knowledge Base 2718704.
Další navrhované akce
Ochrana počítače
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně počítače při povolování brány firewall, získávání aktualizací softwaru a instalaci antivirového softwaru. Další informace o těchto krocích můžou zákazníci získat v části Ochrana počítače.
Další informace o tom, jak zůstat v bezpečí na internetu, naleznete na webu Microsoft Security Central.
Udržovat software společnosti Microsoft aktualizovaný
Uživatelé, kteří používají software společnosti Microsoft, by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte web Microsoft Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny aktualizace s vysokou prioritou, které jsou vám nabízeny. Pokud máte povolenou a nakonfigurovanou automatickou aktualizaci pro produkty Microsoftu, budou vám aktualizace doručeny při jejich vydání, ale měli byste ověřit, že jsou nainstalované.
Další informace
Program Microsoft Active Protections (MAPP)
Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partneři.
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (3. června 2012): Poradce publikováno.
- V1.1 (13. června 2012): Doporučení revidované, aby zákazníkům oznámilo, že zařízení s Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5 nejsou tímto problémem ovlivněna.
Postaveno v 2014-04-18T13:49:36Z-07:00