Informační zpravodaj zabezpečení společnosti Microsoft (2718704)
Neautorizované digitální certifikáty mohou umožnit falšování obsahu
Publikováno: | Aktualizováno:
Verze: 1.1
Obecné informace
Shrnutí
Společnost Microsoft má informace o aktivních útocích, využívajících neautorizované digitální certifikáty odvozené z certifikační autority společnosti Microsoft. Neautorizovaný certifikát lze zneužít k falšování obsahu, provádění útoků typu phishing nebo útoků prostředníkem. Tento problém má vliv na všechny podporované verze systému Microsoft Windows.
Společnost Microsoft poskytuje aktualizaci pro všechny podporované verze systému Microsoft Windows. Tato aktualizace odvolává důvěru následujícího zprostředkujícího certifikátu certifikační autority:
- Microsoft Enforced Licensing Intermediate PCA (2 certifikáty)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
Doporučení: Společnost Microsoft doporučuje v případě podporovaných vydání systému Microsoft Windows, aby uživatelé okamžitě nainstalovali aktualizaci prostřednictvím softwaru pro řízení aktualizací nebo s využitím služby Microsoft Update. Další informace získáte v části Doporučené postupy tohoto zpravodaje.
Podrobnosti o informačním zpravodaji
Odkazy na problém
Další informace o tomto problému získáte pomocí následujících odkazů:
| Odkazy | Identifikace |
|---|---|
| Článek znalostní báze Microsoft Knowledge Base | 2718704 |
Postižený software a zařízení
Tento informační zpravodaj se zabývá následujícím postiženým softwarem a zařízeními.
| Postižený software |
|---|
| Operační systém |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 pro systémy s procesorem Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 |
| Windows Server 2008 pro systémy s procesorem x64 Service Pack 2 |
| Windows Server 2008 pro systémy s procesorem Itanium Service Pack 2 |
| Windows 7 pro 32bitové systémy |
| Windows 7 pro 32bitové systémy Service Pack 1 |
| Windows 7 pro systémy s procesorem x64 |
| Windows 7 pro systémy s procesorem x64 Service Pack 1 |
| Windows Server 2008 R2 pro systémy s procesorem x64 |
| Windows Server 2008 R2 pro systémy s procesorem x64 Service Pack 1 |
| Windows Server 2008 R2 pro systémy s procesorem Itanium |
| Windows Server 2008 R2 pro systémy s procesorem Itanium Service Pack 1 |
| Možnosti instalace Server Core |
| Windows Server 2008 pro 32bitové systémy s aktualizací Service Pack 2 (instalace Server Core) |
| Windows Server 2008 pro systémy s procesorem x64 s aktualizací Service Pack 2 (instalace Server Core) |
| Windows Server 2008 R2 pro systémy s procesorem x64 (instalace Server Core) |
| Windows Server 2008 R2 pro systémy s procesorem x64 s aktualizací Service Pack 1 (instalace Server Core) |
| Nepostižená zařízení |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Nejčastější dotazy
Proč byl tento informační zpravodaj 13. června 2012 revidován?
Společnost Microsoft tento zpravodaj revidovala, aby informovala zákazníky, že zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5 nejsou touto chybou postižena. K tomuto závěru společnost Microsoft dospěla na základě dalšího šetření.
Co je cílem tohoto informačního zpravodaje?
Účelem tohoto informačního zpravodaje je informovat zákazníky o tom, že společnost Microsoft potvrdila zneužívaní dvou neautorizovaných certifikátů, vydaných společností Microsoft, k aktivním útokům. V průběhu našeho vyšetřování bylo zjištěno, že certifikáty se slabým šifrováním vydala jiná certifikační autorita.
Společnost Microsoft vydala aktualizaci pro všechna podporovaná vydání systému Microsoft Windows, která tento problém řeší.
Týká se tato aktualizace i jiných neautorizovaných digitálních certifikátů?
Ano, kromě tří neautorizovaných certifikátů, popsaných v tomto zpravodaji, se tato kumulativní aktualizace týká i neautorizovaných digitálních certifikátů, popsaných v předešlých zpravodajích: Informační zpravodaj zabezpečení společnosti Microsoft 2524375, Informační zpravodaj zabezpečení společnosti Microsoft 2607712 a Informační zpravodaj zabezpečení společnosti Microsoft 2641690.
Je problémem popsaným v tomto zpravodaji postižen i systém Windows 8 Consumer Preview?
Ano. Pro verzi Windows 8 Consumer Preview je k dispozici aktualizace. Zákazníkům se systémem Windows 8 Consumer Preview doporučujeme do systému nainstalovat aktualizaci. Aktualizace jsou dostupné pouze prostřednictvím služby Windows Update.
Je problémem popsaným v tomto zpravodaji postižen i systém Windows 8 Release Preview ?
Ano. Pro verzi Windows 8 Release Preview je k dispozici aktualizace. Zákazníkům se systémem Windows 8 Release Preview doporučujeme do systému nainstalovat aktualizaci. Aktualizace jsou dostupné pouze prostřednictvím služby Windows Update.
Co je kryptografie?
Kryptografie je věda o zabezpečení informací převodem mezi běžným, čitelným stavem (prostý text) a stavem, ve kterém jsou data skrytá (zašifrovaný text).
Ve všech formách kryptografie je pro převod dat v prostém textu na zašifrovaný text použita hodnota známá jako klíč podle postupu označovaného jako kryptografický algoritmus. V nejznámějším typu kryptografie využívajícím tajný klíč je zašifrovaný text převeden zpět na prostý pomocí stejného klíče. Při druhém typu kryptografie, která se provádí pomocí veřejného klíče, je pro převod zašifrovaného textu zpět na prostý použit jiný klíč.
Co je digitální certifikát?
Při kryptografii pomocí veřejných klíčů je třeba ponechat jeden z klíčů, označovaný jako soukromý, v tajnosti. Druhý klíč, veřejný, je určen ke sdílení s ostatními. Musí však existovat způsob, jakým vlastník klíče ostatním sdělí, komu klíč patří. K tomu slouží digitální certifikáty. Digitální certifikát označuje údaj odolný proti padělání, který zabalí veřejný klíč společně s informacemi o tomto klíči – kdo jej vlastní, k čemu jej lze používat, kdy vyprší jeho platnost atd.
K čemu se používají certifikáty?
Certifikáty primárně slouží k ověření identity osoby nebo zařízení, ověření platnosti služby nebo zašifrování souborů. Za normálních okolností není třeba o certifikátech vůbec přemýšlet. Může se však zobrazit zpráva, že vypršela platnost certifikátu nebo že je certifikát neplatný. V takovém případě je vhodné postupovat podle pokynů ve zprávě.
Co je certifikační autorita (CA)?
Certifikační autority jsou organizace, které vystavují certifikáty. Stanovují a ověřují pravost veřejných klíčů, které patří lidem nebo jiným certifikačním autoritám, a ověřují identitu osoby nebo organizace, která žádá o certifikát.
Co je seznam důvěryhodných certifikátů (CTL)?
Mezi příjemcem podepsané zprávy a tím, kdo ji podepsal, musí existovat důvěra. Jedním ze způsobů dosažení této důvěry je použití certifikátu, elektronického dokumentu, který ověřuje, že entity či osoby jsou opravdu tím, za koho se vydávají. Certifikát je vydáván entitě třetí stranou, které důvěřují obě zúčastněné strany. Každý příjemce podepsané zprávy tak zjišťuje, zda je vydavatel certifikátu důvěryhodný. Rozhraní CryptoAPI implementovalo postup, jenž vývojářům aplikací umožňuje vytvářet aplikace, které automaticky ověřují certifikáty podle předem daného seznamu důvěryhodných certifikátů či kořenů. Tento seznam důvěryhodných entit (nazývaných objekty) se nazývá seznam důvěryhodných certifikátů (CTL). Další informace naleznete v článku Certificate Trust Verification (Ověření důvěryhodnosti certifikátu) na webu MSDN.
Jaká byla příčina problému?
Společnost Microsoft má informace o aktivních útocích, využívajících neautorizované digitální certifikáty odvozené z certifikační autority společnosti Microsoft. Neautorizovaný certifikát lze zneužít k falšování obsahu, provádění útoků typu phishing nebo útoků prostředníkem. Tento problém má vliv na všechny podporované verze systému Microsoft Windows.
K čemu by mohl útočník tuto chybu zabezpečení zneužít?
Útočník může zneužít tyto certifikáty k falšování obsahu, provádění útoků typu phishing nebo útoků prostředníkem.
Co je útok prostředníkem (man-in-the-middle)?
K útoku prostředníkem (man-in-the-middle) dojde v případě, že útočník přesměruje komunikaci mezi dvěma uživateli pomocí svého počítače, aniž by tyto dva komunikující uživatele znal. Jednotliví uživatelé v komunikaci nevědomě odesílají a přijímají data od útočníka, přičemž se domnívají, že komunikují pouze se zamýšleným uživatelem.
Jak společnost Microsoft pomáhá s řešením tohoto problému?
Aktualizovali jsme úložiště nedůvěryhodných certifikátů, ze kterého jsme odebrali důvěru v postižené certifikační autority společnosti Microsoft.
Jak lze po použití aktualizace ověřit certifikáty v úložišti nedůvěryhodných certifikátů společnosti Microsoft?
Informace o zobrazení certifikátů naleznete v článku na webu MSDN s názvem How to: View Certificates with the MMC Snap-in (Postupy: Zobrazení certifikátů pomocí modulu snap-in konzoly MMC).
V oddílu Certificates MMC snap-in (Modul snap-in konzoly MMC certifikátů) ověřte, zda do složky Nedůvěryhodné certifikáty byly přidány následující certifikáty:
| Certifikát | Vydavatel | Thumbprint |
|---|---|---|
| Microsoft Enforced Licensing Intermediate PCA | Kořenová autorita společnosti Microsoft | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Enforced Licensing Intermediate PCA | Kořenová autorita společnosti Microsoft | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Microsoft Enforced Licensing Registration Authority CA (SHA1) | Kořenová certifikační autorita společnosti Microsoft | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Doporučené postupy
Podporovaná vydání systému Microsoft Windows
Většina zákazníků má povolenu automatickou aktualizaci, takže nebudou muset podnikat žádná opatření, protože aktualizace KB2718704 se stáhne a nainstaluje automaticky. Zákazníci, kteří nemají povolenu automatickou aktualizaci, musejí vyhledat a nainstalovat tuto aktualizaci ručně. Informace o zvláštních možnostech nastavení automatické aktualizace naleznete v článku 294871 znalostní báze Microsoft Knowledge Base.
Administrátorům a pro instalace v rozlehlých sítích, ale i koncovým uživatelům, kteří si chtějí aktualizaci KB2718704 nainstalovat ručně, doporučuje společnost Microsoft, aby tuto aktualizaci nainstalovali okamžitě pomocí softwaru pro správu aktualizací nebo vyhledáním aktualizací službou Microsoft Update. Další informace o tom, jak aktualizaci nainstalovat ručně, získáte v článku 2718704 znalostní báze Microsoft Knowledge Base.
Další doporučené postupy
- Chraňte svůj počítač
Doporučujeme zákazníkům, aby se řídili pokyny k ochraně počítače a povolili bránu firewall, získali aktualizace softwaru a nainstalovali antivirový software. Zákazníci mohou získat další informace o těchto krocích na webu Chraňte svůj počítač.
Další informace o bezpečném používání Internetu získáte na webu Microsoft Security Central.
- Udržování aktuálního softwaru společnosti Microsoft
Uživatelé softwaru společnosti Microsoft by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili co nejlepší zabezpečení počítače. Pokud si nejste jisti, zda je váš software aktuální, navštivte web Microsoft Update, nechte vyhledat dostupné aktualizace pro váš počítač a nainstalujte všechny nabízené důležité aktualizace. Pokud máte povoleny automatické aktualizace a nakonfigurovány tak, aby poskytovaly aktualizace produktů společnosti Microsoft, budou vám aktualizace doručeny ihned po vydání. Je však vhodné ověřit, zda byly nainstalovány.
Další informace
Microsoft Active Protections Program (MAPP)
Pro zlepšení ochrany dat svých zákazníků poskytuje společnost Microsoft informace o chybách v zabezpečení všem hlavním dodavatelům softwaru pro zabezpečení, a to vždy ještě před vydáním nové měsíční zprávy o aktualizaci zabezpečení. Dodavatelé softwaru pro zabezpečení tak mohou tyto informace o chybách v zabezpečení využít a poskytnout svým zákazníkům ochranu včasnou aktualizací svých programů a zařízení pro zabezpečení, jako jsou antivirové programy, síťové systémy pro detekci napadení či hostitelské systémy pro prevenci napadení. Informace o dostupnosti aktuálních prostředků aktivní ochrany od jednotlivých dodavatelů softwaru pro zabezpečení naleznete na stránkách aktivní ochrany jednotlivých partnerů programu MAPP. Seznam těchto partnerů naleznete na stránce Microsoft Active Protections Program (MAPP) Partners.
Názory a připomínky
- Zpětnou vazbu můžete poskytnout vyplněním formuláře na webu Nápověda a podpora společnosti Microsoft, Zákaznická podpora / Kontaktujte nás.
Technická podpora
- Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Další informace o dostupných možnostech technické podpory naleznete na webu Pomoc a podpora společnosti Microsoft.
- Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Další informace o možnostech kontaktování společnosti Microsoft v případě, že budete potřebovat mezinárodní technickou podporu, získáte na webu mezinárodní technické podpory.
- Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.
Zřeknutí se záruky
Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.
Revize
- V1.0 (3. června 2012): Informační zpravodaj byl publikován.
- V1.1 (13. června 2012): Byl revidován informační zpravodaj, aby informoval zákazníky o tom, že zařízení Windows Mobile 6.x, Windows Phone 7 a Windows Phone 7.5 nejsou touto chybou postižena.