Microsoft-beveiligingsadvies (2718704)

Waarom dit advies herzien op 13 juni 2012? 
Microsoft heeft dit advies herzien om klanten te informeren dat Microsoft na verder onderzoek heeft geconstateerd dat Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten niet door het probleem worden getroffen.

Wat is de omvang van het advies? 
Dit advies is bedoeld om klanten te informeren dat Microsoft heeft bevestigd dat twee niet-geautoriseerde certificaten door Microsoft zijn uitgegeven en in actieve aanvallen worden gebruikt. Tijdens ons onderzoek is een derde certificeringsinstantie gevonden die certificaten met zwakke codering heeft uitgegeven.

Microsoft heeft een update gepubliceerd voor alle ondersteunde versies van Microsoft Windows waarmee het probleem wordt opgelost.

Heeft deze update betrekking op andere niet-geautoriseerde digitale certificaten? 
Ja, deze update heeft niet alleen betrekking op de drie niet-geautoriseerde certificaten die in dit advies worden beschreven, maar is tevens cumulatief en heeft ook betrekking op niet-geautoriseerde digitale certificaten op die in vorige adviezen zijn beschreven: Microsoft-beveiligingsadvies 2524375, Microsoft-beveiligingsadvies 2607712 en Microsoft-beveiligingsadvies 2641690.

Wordt Windows 8 Consumer Preview getroffen door het probleem dat wordt opgelost in dit advies?   
Ja. De update is beschikbaar voor de Windows 8 Consumer Preview. Klanten met Windows 8 Consumer Preview worden aangeraden de updates toe te passen op hun systemen. De updates zijn alleen beschikbaar via Windows Update.

Wordt Windows 8 Release Preview getroffen door het probleem dat wordt opgelost in dit advies?  
Ja. De update is beschikbaar voor Windows 8 Release Preview. Klanten met Windows 8 Release Preview wordt aangeraden om de updates toe te passen op hun systemen. De updates zijn alleen beschikbaar via Windows Update.

Wat is cryptografie?
Cryptografie is de wetenschap van het beveiligen van informatie door deze te converteren van de normale, leesbare toestand (plaintext) naar een toestand waarin de gegevens zijn verborgen (ciphertext).

In alle vormen van cryptografie wordt een waarde, een zogenaamde sleutel, in combinatie met een procedure, een cryptoalgoritme, gebruikt om plaintext om te zetten in ciphertext. In de meest bekende vorm van cryptografie, cryptografie met geheime sleutel, wordt de ciphertext met dezelfde sleutel weer teruggezet in plaintext. In een tweede vorm van cryptografie, cryptografie met openbare sleutel, wordt een andere sleutel gebruikt om de ciphertext weer terug te zetten in plaintext.

Wat is een digitaal certificaat?
Bij cryptografie met openbare sleutel moet een van de sleutels, de persoonlijke sleutel, geheim worden gehouden. De andere sleutel, de openbare sleutel, is bedoeld om openbaar gemaakt te worden. Er moet echter een manier zijn waarop de eigenaar van de sleutel bekend kan maken van wie de sleutel is. Dit gebeurt met digitale certificaten. Een digitaal certificaat is een beveiligd bestand dat een openbare sleutel plus informatie over deze sleutel bevat: wie de eigenaar van de sleutel is, waarvoor de sleutel kan worden gebruikt, wanneer deze verloopt, enzovoort.

Waarvoor worden certificaten gebruikt?
Certificaten worden hoofdzakelijk gebruikt om de identiteit te controleren van een persoon of apparaat, een service te verifiëren of bestanden te coderen. Normaal gesproken hoeft u zich niet met certificaten bezig te houden. Het is echter mogelijk dat u af en toe het bericht ziet dat een certificaat is verlopen of ongeldig is. In die gevallen moet u de instructies in het bericht volgen.

Wat is een certificeringsinstantie?
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat is een certificaatvertrouwenslijst?
Er moet vertrouwen bestaan tussen de ontvanger van een ondertekend bericht en degene die het bericht heeft ondertekend. Dit vertrouwen kan tot stand worden gebracht met behulp van een certificaat. Dit is een elektronisch document dat controleert of entiteiten of personen wel zijn wie ze beweren te zijn. Een entiteit stuurt een certificaat naar een externe partij die door zowel de entiteit als de ontvanger wordt vertrouwd. Op die manier beslist elke ontvanger van een ondertekend bericht of degene die het certificaat uitgeeft, betrouwbaar is. CryptoAPI heeft een methodologie geïmplementeerd waarmee ontwikkelaars van toepassingen programma's kunnen maken waarmee certificaten automatisch kunnen worden vergeleken met een vooraf opgestelde lijst met betrouwbare certificaten of bronnen. Deze lijst met vertrouwde entiteiten wordt een certificaatvertrouwenslijst genoemd. Zie het MSDN-artikel Certificate Trust Verification voor meer informatie.

Wat heeft het probleem veroorzaakt?
Microsoft is zich bewust van actieve aanvallen met niet-geautoriseerde digitale certificaten die van een Microsoft-certificeringsinstantie zijn afgeleid. Een niet-geautoriseerd certificaat kan worden gebruikt om content te vervalsen (spoofen) en om phishing-aanvallen of man-in-the-middle-aanvallen uit te voeren. Dit probleem treft alle ondersteunde releases van Microsoft Windows.

Met welk doel kan een aanvaller het probleem misbruiken? 
Een aanvaller kan misbruik maken van deze certificaten om content te vervalsen (spoofen) en om phishing-aanvallen of man-in-the-middle-aanvallen uit te voeren.

Wat is een MITM-aanval (man-in-the-middle)?
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.

Wat doet Microsoft om te helpen bij de oplossing van dit probleem?
Wij hebben het archief met onbetrouwbare certificaten bijgewerkt om het vertrouwen in de getroffen Microsoft-certificeringsinstanties te verwijderen.

Hoe kan ik de certificaten in het Microsoft-archief met onbetrouwbare certificaten verifiëren nadat ik de update heb toegepast?  
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.

In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:

Voor ondersteunde versies van Microsoft Windows

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de KB2718704-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfsinstallaties of eindgebruikers die de KB2718704-update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update. Zie Microsoft Knowledge Base-artikel 2718704 voor meer informatie over het handmatig toepassen van de update.