Microsoft-Sicherheitsempfehlung (2718704)

Warum wurde diese Empfehlung am 13. Juni 2012 überarbeitet? 
Microsoft hat diese Empfehlung überarbeitet, um Benutzer darüber zu benachrichtigen, dass Microsoft nach weiterer Untersuchung festgestellt hat, dass Geräte mit Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5 nicht von dem Problem betroffen sind.

Was genau umfasst diese Empfehlung? 
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Microsoft bestätigt hat, dass zwei nicht autorisierte Zertifikate von Microsoft veröffentlicht wurden, die bei aktiven Angriffen verwendet werden. Während unserer Untersuchung wurde eine dritte Zertifizierungsstelle gefunden, die Zertifikate mit schwacher Verschlüsselung veröffentlicht hat.

Microsoft hat ein Update für alle unterstützten Versionen von Microsoft Windows veröffentlicht, mit dem das Problem behoben wird.

Werden mit diesem Update weitere nicht autorisierte digitale Zertifikate behoben? 
Ja, zusätzlich zum Beheben der drei in dieser Empfehlung beschriebenen nicht autorisierten Zertifikate ist dieses Update kumulativ und behebt nicht autorisierte digitale Zertifikate, die in vorherigen Empfehlungen beschrieben sind: Microsoft-Sicherheitsempfehlung 2524375, Microsoft-Sicherheitsempfehlung 2607712 und Microsoft-Sicherheitsempfehlung 2641690.

Ist Windows 8 Consumer Preview von der in dieser Empfehlung beschriebenen Sicherheitsanfälligkeit betroffen ?   
Ja. Das Update ist für die Windows 8 Consumer Preview-Veröffentlichung erhältlich. Endbenutzer von Windows 8 Consumer Preview sind angehalten, die Updates auf ihren Systemen zu installieren. Die Updates sind nur auf Windows-Update verfügbar.

Ist Windows 8 Release Preview von der in dieser Empfehlung beschriebenen Sicherheitsanfälligkeit betroffen ?  
Ja. Das Update ist für die Windows 8 Release Preview-Veröffentlichung erhältlich. Endbenutzer von Windows 8 Release Preview sind angehalten, die Updates auf ihren Systemen zu installieren. Die Updates sind nur auf Windows-Update verfügbar.

Was ist Kryptografie?
Kryptografie ist die Wissenschaft des Sicherns von Informationen, indem diese aus ihrem normalen, lesbaren Zustand (Klartext genannt) in einen Zustand konvertiert werden, in dem die Daten verschleiert sind (Chiffretext genannt).

In allen Formen der Kryptografie wird ein als Schlüssel bekannter Wert in Verbindung mit einem Verfahren namens Kryptoalgorithmus verwendet, um Klartextdaten in Chiffretext zu transformieren. In der vertrautesten Art der Kryptografie, der Kryptografie mit einem geheimen Schlüssel, wird der Chiffretext mit dem gleichen Schlüssel zurück in Klartext transformiert. In einer zweiten Art der Kryptografie jedoch, der Kryptografie mit öffentlichen Schlüsseln, wird ein anderer Schlüssel verwendet, um den Chiffretext zurück in Klartext zu transformieren.

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein gegen Eingriffe gesichertes Datenpaket, das einen öffentlichen Schlüssel zusammen mit Informationen dazu enthält: wer der Besitzer ist, wofür es verwendet werden kann, wann es abläuft und so weiter.

Wofür werden Zertifikate verwendet?
Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie gar nicht an Zertifikate denken. Unter Umständen wird Ihnen jedoch eine Nachricht angezeigt, die Ihnen mitteilt, dass ein Zertifikat ungültig oder abgelaufen ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

Was ist eine Zertifikatvertrauensliste (CTL)?
Zwischen dem Empfänger einer signierten Nachricht und dem Unterzeichner der Nachricht muss Vertrauen bestehen. Dieses Vertrauen kann durch ein Zertifikat hergestellt werden; das ist ein elektronisches Dokument, mit dem überprüft wird, ob die Organisationen oder Personen diejenigen sind, die sie vorgeben, zu sein. Ein Zertifikat wird einer Organisation durch einen Drittanbieter ausgestellt, dem beide Parteien vertrauen. Dadurch entscheidet jeder Empfänger einer signierten Nachricht, ob der Herausgeber des Zertifikats des Unterzeichners vertrauenswürdig ist. CryptoAPI hat eine Methode implementiert, die Anwendungsentwicklern ermöglicht, Anwendungen zu erstellen, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Stammzertifikaten überprüfen. Diese Liste vertrauenswürdiger Organisationen (Zertifikatbesitzer genannt) wird Zertifikatvertrauensliste (CTL: Certificate Trust List) genannt. Weitere Informationen finden Sie in dem MSDN-Artikel Überprüfung des Vertrauens in Zertifikate.

Was hat das Problem verursacht?
Microsoft ist sich aktiver Angriffe bewusst, bei denen nicht autorisierte digitale Zertifikate verwendet werden, die von einer Microsoft-Zertifizierungsstelle abgeleitet wurden. Mit einem nicht autorisierten Zertifikat können Inhalte nachgeahmt, Phishingangriffe oder Man-in-the-Middle-Angriffe durchgeführt werden. Dieses Problem betrifft alle unterstützten Versionen von Microsoft Windows.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen? 
Ein Angreifer kann mit diesen Zertifikaten Inhalte nachahmen, Phishingangriffe oder Man-in-the-Middle-Angriffe durchführen.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was unternimmt Microsoft, um zur Behebung dieses Problems beizutragen?
Wir haben den Speicher für nicht vertrauenswürdige Zertifikate aktualisiert, um das Vertrauen in die betroffenen Microsoft-Zertifizierungsstellen zu entfernen.

Wie kann ich nach der Installation des Updates die Zertifikate im Speicher für nicht vertrauenswürdige Zertifikate von Microsoft überprüfen?  
Weitere Informationen zum Anzeigen von Zertifikaten finden Sie in dem MSDN-Artikel Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.

Überprüfen Sie im MMC-Snap-In „Zertifikate“, ob die folgenden Zertifikate dem Ordner Nicht vertrauenswürdige Zertifikate hinzugefügt wurden:

Für alle unterstützten Versionen von Microsoft Windows

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das Update KB2718704 automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die das Update KB2718704 manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Weitere Informationen zum manuellen Installieren des Updates finden Sie im Microsoft Knowledge Base-Artikel 2718704.