Microsoft-beveiligingsadvies (2641690)

Waarom is dit advies gewijzigd op 19 januari 2012? 
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Mobile 6.x-, Windows Phone Windows 7- en Windows Phone 7.5-apparaten. Raadpleeg Microsoft Knowledge Base-artikel 2641690 voor meer informatie.

Waarom zijn er op 16 november 2011 wijzigingen in dit advies aangebracht? 
Microsoft heeft wijzigingen in dit advies aangebracht om aan te kondigen dat de KB2641690-update voor Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 opnieuw wordt uitgegeven. Met de opnieuw uitgegeven update wordt een probleem opgelost dat optreedt bij gebruikers van Windows Server Update Services (WSUS), waarbij de toepasselijkheid van de update niet goed werd gedetecteerd.

Klanten van Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 moeten de opnieuw uitgegeven versie van de KB2641690-update toepassen om zich te beschermen tegen het gebruik van frauduleuze certificaten zoals beschreven in dit advies. Klanten van Windows XP Service Pack 3 en ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 hoeven deze opnieuw uitgegeven versie niet toe te passen.

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de opnieuw uitgegeven KB2641690-update automatisch wordt gedownload en geïnstalleerd.

Wat is de omvang van het advies? 
Het doel van dit advies is klanten te informeren over het feit dat DigiCert Sdn. Bhd 22 certificaten met zwakke 512-bits sleutels heeft uitgebracht. Door deze zwakke sleutels vormen sommige certificaten zwakke plekken. Microsoft heeft het vertrouwen in deze ondergeschikte certificeringsinstantie ingetrokken met een update die twee certificaten van deze certificeringsinstantie naar het Microsoft-archief met onbetrouwbare certificaten verplaatst.

Wat heeft het probleem veroorzaakt? 
Microsoft werd door Entrust, een certificeringsinstantie in het Microsoft Root Certificate Program (Microsoft Basiscertificaatprogramma) op de hoogte gebracht van het feit dat één van hun ondergeschikte certificieringsinstanties, DigiCert Sdn. Bhd 22 certificaten met zwakke 512-bits sleutels had uitgebracht. Daarnaast heeft deze ondergeschikte certificeringsinstantie certificaten uitgebracht zonder de juiste gebruiksextensie of intrekkkingsinformatie. Dit is een overtreding van de regels van het Microsoft Root Certificate Program.

Er zijn geen aanwijzingen dat certificaten frauduleus zijn uitgebracht. In plaats daarvan kunnen door cryptografisch zwakke sleutels bepaalde certificaten worden gedupliceerd en op frauduleuze wijze gebruikt. Entrust en GTE CyberTrust hebben de certificaten van DigiCert Sdn. Bhd ingetrokken. Microsoft biedt een update die het vertrouwen in deze twee certificaten intrekt om klanten nog beter te beschermen.

Hoe kan een aanvaller een certificaat dupliceren? 
Een digitale handtekening kan alleen worden gemaakt door de persoon die de persoonlijke sleutel van het certificaat bezit. Een aanvaller kan proberen de persoonlijke sleutel te raden en wiskundige technieken gebruiken om te bepalen of zijn giswerk correct is. De moeilijkheidsgraad van het raden van de persoonlijke sleutel is evenredig aan het aantal bits in de sleutel. Hoe groter de sleutel, hoe langer het duurt voor een aanvaller de persoonlijke sleutel heeft geraden. Met moderne hardware kunnen 512-bits sleutels in korte tijd worden geraden.

Hoe kan een aanvaller frauduleuze certificaten gebruiken? 
Een aanvaller kan de 512-bits certificaten gebruiken om inhoud te vervalsen (spoofen), phishing-aanvallen te verrichten of man-in-the-middle-aanvallen te verrichten tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.

Wat doet Microsoft om te helpen bij de oplossing van dit probleem? 
Hoewel dit probleem niet wordt veroorzaakt door een probleem met een Microsoft-product, hebben we toch een update gepubliceerd die twee certificaten van Entrust en GTE CyberTrust naar het Microsoft-archief met onbetrouwbare certificaten verplaatst. Microsoft raadt klanten aan de update onmiddellijk toe te passen.

Wat is een MITM-aanval (man-in-the-middle)? 
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.

Wat is een certificeringsinstantie? 
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat is de procedure voor het intrekken van een certificaat? 
Er is een standaardprocedure waarmee een certificeringsinstantie kan voorkomen dat certificaten worden geaccepteerd als ze worden gebruikt. Iedere uitgever van certificaten genereert regelmatig een Certificate Revocation List (CRL), waarop alle certificaten voorkomen die als ongeldig moeten worden beschouwd. Elk certificaat moet een stukje gegevens verstrekken, het CDP (CRL Distribution Point), dat aangeeft waar de CRL kan worden opgehaald.

Webbrowsers kunnen de identiteit van een digitaal certificaat ook valideren met behulp van het OCSP (Online Certificate Status Protocol). OCSP maakt interactieve validatie van een certificaat mogelijk door verbinding te maken met een OCSP-responder, gehost door de certificeringsinstantie die het digitale certificaat heeft ondertekend. Elk certificaat moet via de AIA-extensie (Authority Information Access) in het certificaat een verwijzing bevatten naar de locatie van de OCSP-responder. Bovendien geeft OCSP stapling de webserver de mogelijkheid om zelf een OCSP-validatieantwoord aan de client te verstrekken.

OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en nieuwere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 ingeschakeld. Als de OCSP-validatiecontrole op deze besturingssystemen mislukt, zal de browser het certificaat valideren door contact op te nemen met de CRL-locatie.

Sommige netwerken kunnen online OCSP- of CRL-updates weigeren. Daarom heeft Microsoft een update gepubliceerd voor alle versies van Microsoft Windows die deze certificaten toevoegt aan het Microsoft-archief met onbetrouwbare certificaten. Doordat deze certificaten naar het Microsoft-archief met onbetrouwbare certificaten worden verplaatst, worden deze frauduleuze certificaten in geen enkel netwerkscenario vertrouwd.

Voor meer informatie over de controle op ingetrokken certificaten, raadpleegt u het TechNet-artikel Certificate Revocation and Status Checking.

Hoe weet ik of ik te maken heb met een ongeldig certificaat? 
Wanneer Internet Explorer een ongeldig certificaat tegenkomt, wordt een webpagina weergegeven met het bericht 'Er is een probleem met het beveiligingscertificaat van deze website'. Wanneer deze waarschuwing wordt weergegeven, worden gebruikers geadviseerd om de webpagina te sluiten en weg te gaan van de website.

Dit bericht wordt alleen weergegeven als is vastgesteld dat het certificaat ongeldig is, bijvoorbeeld wanneer de gebruiker CRL- (Certificate Revocation List) of OCSP-validatie (Online Certificate Status Protocol) heeft ingeschakeld. OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.

Hoe kan ik de certificaten in het Microsoft-archief met onbetrouwbare certificaten verifiëren nadat ik de update heb toegepast? 
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.

In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:

Voor ondersteunde versies van Microsoft Windows

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de KB2641690-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die de KB2641690-update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update. Zie Microsoft Knowledge Base-artikel 2641690 voor meer informatie over het handmatig toepassen van de update.

Voor Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten

Voor informatie over de update voor Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten raadpleegt u Microsoft Knowledge Base-artikel 2641690.