Советы по безопасности
Советы по безопасности Майкрософт 2728973
Несанкционированные цифровые сертификаты могут разрешать спуфингов
Опубликовано: 10 июля 2012 г. | Обновлено: 05 сентября 2012 г.
Версия: 1.2
Общие сведения
Краткий обзор
Корпорация Майкрософт знает о центрах сертификации Майкрософт, которые не являются нашими рекомендуемыми рекомендациями по безопасному хранилищу. После обычной проверки мы помещаем эти сертификаты в хранилище ненадежных сертификатов и заменяем их новыми центрами сертификации, которые соответствуют нашему высокому стандарту управления инфраструктурой открытых ключей (PKI). Мы не знаем о каких-либо неправильном использовании центров сертификации, но принимают меры по защите клиентов. Эта проблема влияет на все поддерживаемые выпуски Microsoft Windows.
Корпорация Майкрософт предоставляет обновление для всех поддерживаемых выпусков Microsoft Windows. Обновление помещает следующие промежуточные сертификаты ЦС в хранилище ненадежных сертификатов:
- Microsoft Genuine Windows Телефон Public Preview CA01
- ЦС Microsoft IPTVe
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 сертификата)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 сертификата)
- Microsoft Online Svcs CA3 (2 сертификата)
- Microsoft Online Svcs CA4 (2 сертификата)
- Microsoft Online Svcs CA5 (2 сертификата)
- Microsoft Online Svcs CA6
Рекомендация. Для поддерживаемых выпусков Microsoft Windows корпорация Майкрософт рекомендует немедленно применять обновление. Дополнительные сведения см. в разделе "Предлагаемые действия " этого рекомендации.
Известные проблемы.Статья базы знаний Майкрософт 2728973 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2728973 |
Затронутые программы и устройства
В этом руководстве рассматривается следующее затронутого программного обеспечения и устройств.
| Затронутого программного обеспечения |
|---|
| Операционная система |
| Windows XP с пакетом обновления 3 (SP3) |
| Windows XP Professional x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 2 (SP2) |
| Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для x64 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 for Itanium-based Systems |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
| Вариант установки основных серверных компонентов |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 R2 для систем на основе x64 (установка основных серверных компонентов) |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) |
| Не затронутые устройства |
|---|
| Windows Mobile 6.x |
| Windows Телефон 7 |
| Windows Телефон 7.5 |
Вопросы и ответы
Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что корпорация Майкрософт знает о центрах сертификации Майкрософт, которые находятся за пределами наших рекомендуемых методов безопасного хранения. После регулярного просмотра и неосторожности мы размещаем эти сертификаты в хранилище сертификатов ненадежных сертификатов и заменяем их новыми центрами сертификации, которые соответствуют нашему высокому стандарту управления инфраструктурой открытого ключа (PKI). Мы не знаем о каких-либо неправильном использовании центров сертификации, но принимают меры по защите клиентов. Эта проблема влияет на все поддерживаемые выпуски Microsoft Windows.
Корпорация Майкрософт выпустила обновление для всех поддерживаемых выпусков Microsoft Windows, которые рассматривают проблему.
Адресует ли это обновление любые другие несанкционированные цифровые сертификаты?
Да, в дополнение к 28 неавторизованным сертификатам, описанным в этом совете, это обновление является накопительным и устраняет несанкционированные цифровые сертификаты, описанные в предыдущих рекомендациях: Рекомендации по безопасности Майкрософт 2524375, рекомендации по безопасности Майкрософт 2607712, рекомендации майкрософт по безопасности 2641690 и советы по безопасности Майкрософт 2718704.
Обратите внимание, что хотя это обновление обращается к сертификатам, описанным в предыдущих рекомендациях, это обновление не содержит все функциональные возможности, представленные в предыдущих рекомендациях. Дополнительные сведения см. в статье базы знаний Майкрософт 2728973.
Влияет ли предварительная версия выпуска Windows 8 или кандидат на выпуск Windows Server 2012 в связи с этой проблемой?
Да. Обновление доступно для предварительной версии windows 8 и кандидата выпуска Windows Server 2012. Клиентам с предварительной версией Windows 8 и кандидатом на выпуск Windows Server 2012 рекомендуется применять обновления к своим системам. Сведения о применении обновления для предварительной версии выпуска Windows 8 и предварительной версии windows Server 2012 см. в разделе "Предлагаемые действия " этого рекомендации.
Что такое криптография?
Криптография — это наука о защите информации путем преобразования ее между нормальным, читаемым состоянием (называемым открытым текстом) и тем, в котором данные скрыты (известный как шифр).
Во всех формах криптографии значение, известное как ключ, используется в сочетании с процедурой, называемой алгоритмом шифрования для преобразования данных обычного текста в зашифрованный текст. В наиболее знакомом типе криптографии криптография секрета с ключом шифр преобразуется обратно в открытый текст с помощью того же ключа. Однако во втором типе криптографии с открытым ключом используется другой ключ для преобразования зашифрованного текста обратно в открытый текст.
Что такое цифровой сертификат?
В криптографии с открытым ключом один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это фрагмент данных, который упаковает открытый ключ вместе с информацией о нем - кто владеет им, что можно использовать, когда срок действия истекает, и т. д.
Для чего используются сертификаты?
Сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, вам не придется думать о сертификатах вообще. Однако может появиться сообщение о том, что срок действия сертификата истек или недопустим. В этих случаях следует следовать инструкциям в сообщении.
Что такое центр сертификации (ЦС)? Центры сертификации — это организации, которые выдают сертификаты. Они устанавливают и проверяют подлинность открытых ключей, принадлежащих людям или другим центрам сертификации, и проверяют удостоверение человека или организации, запрашивающего сертификат.
Что такое список доверия сертификатов (CTL)? Доверие должно существовать между получателем подписанного сообщения и подписывателем сообщения. Одним из способов установления доверия является сертификат, электронный документ, проверяющий, что сущности или лица, которые они утверждают. Сертификат выдан сущности стороной, доверенной обеими сторонами. Таким образом, каждый получатель подписанного сообщения решает, является ли издатель сертификата подписи надежным. CryptoAPI реализовал методологию, которая позволяет разработчикам приложений создавать приложения, которые автоматически проверяют сертификаты в предопределенном списке доверенных сертификатов или корней. Этот список доверенных сущностей (называемых субъектами) называется списком доверия сертификатов (CTL). Дополнительные сведения см. в статье MSDN по проверке доверия сертификатов.
Что вызвало проблему?
Корпорация Майкрософт знает о центрах сертификации Майкрософт, которые не являются нашими рекомендуемыми рекомендациями по безопасному хранилищу. Мы не знаем о каких-либо неправильном использовании центров сертификации, но принимают меры по защите клиентов.
Что может сделать злоумышленник?
Злоумышленник может использовать эти сертификаты для спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника в середине.
Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.
Что делает корпорация Майкрософт для решения этой проблемы?
Мы разместили затронутые центры сертификации Майкрософт в хранилище ненадежных сертификатов и заменили их новыми центрами сертификации, которые соответствуют нашему высокому стандарту управления инфраструктурой открытых ключей (PKI).
После применения обновления можно проверить сертификаты в Хранилище сертификатов Майкрософт, ненадежных?
Для систем с помощью автоматического обновления отозванных сертификатов (см. статью базы знаний Майкрософт 2677070 подробные сведения), включая предварительную версию windows 8 и кандидат выпуска Windows Server 2012, можно проверка журнал приложения в Просмотр событий для записи со следующими значениями:
- Источник: CAPI2
- Уровень: Сведения
- Идентификатор события: 4112
- Описание: успешное автоматическое обновление списка запрещенных сертификатов с датой действия: четверг, 21 июня 2012 г. (или более поздней версии).
Для систем, не использующих автоматическое обновление отозванных сертификатов, в оснастке MMC certificates убедитесь, что в папку "Ненадежные сертификаты" добавлены следующие сертификаты:
| Сертификат | Issued by | Отпечаток |
|---|---|---|
| Microsoft Genuine Windows Телефон Public Preview CA01 | Microsoft Windows Телефон PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| ЦС Microsoft IPTVe | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
| Microsoft Online CA001 | PCA служб Майкрософт | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | PCA служб Майкрософт | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | PCA служб Майкрософт | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
| Microsoft Online Svcs BPOS APAC CA3 | PCA служб Майкрософт | e9 5d d8 6f 32 c7 71 f0 34 17 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | PCA служб Майкрософт | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | PCA служб Майкрософт | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
| Microsoft Online Svcs BPOS APAC CA6 | PCA служб Майкрософт | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
| Microsoft Online Svcs BPOS CA1 | PCA служб Майкрософт | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | PCA служб Майкрософт | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
| Microsoft Online Svcs BPOS CA2 | PCA служб Майкрософт | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | PCA служб Майкрософт | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
| Microsoft Online Svcs BPOS EMEA CA1 | PCA служб Майкрософт | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
| Microsoft Online Svcs BPOS EMEA CA2 | PCA служб Майкрософт | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | PCA служб Майкрософт | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
| Microsoft Online Svcs BPOS EMEA CA4 | PCA служб Майкрософт | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | PCA служб Майкрософт | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | PCA служб Майкрософт | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | PCA служб Майкрософт | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
| Microsoft Online Svcs CA1 | PCA служб Майкрософт | a2 21 d3 60 30 9b 5c 3c 40 97 c4 c4 c7 7 7 ac c5 a9 84 5b 66 |
| Microsoft Online Svcs CA3 | PCA служб Майкрософт | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | PCA служб Майкрософт | 37 4d 5b 92 5b 0b d8 34 94 e6 eb 80 80 12 72 75 db 83 ce |
| Microsoft Online Svcs CA4 | PCA служб Майкрософт | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
| Microsoft Online Svcs CA4 | PCA служб Майкрософт | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | PCA служб Майкрософт | a8 17 06 d3 1e 6f 5c 79 1c d3 d3 b1 b1 b9 c6 34 64 95 4b a4 f5 |
| Microsoft Online Svcs CA5 | PCA служб Майкрософт | 4d f1 39 47 49 ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | PCA служб Майкрософт | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e3 e8 4d 6d a3 fa bb f6 3e |
Примечание. Сведения о просмотре сертификатов с помощью оснастки MMC см. в статье MSDN: Просмотр сертификатов с помощью оснастки MMC.
Предлагаемые действия
Поддерживаемые выпуски Windows XP и Windows Server 2003
Большинство клиентов включили автоматическое обновление и не должны предпринимать никаких действий, так как КБ 2728973 обновление будет скачан и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить обновление КБ 2728973 вручную, корпорация Майкрософт рекомендует клиентам немедленно применять обновление с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт. Дополнительные сведения о том, как вручную применить обновление, см. в статье базы знаний Майкрософт 2728973.
Для поддерживаемых выпусков Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview и Windows Server 2012 Preview
Большинство клиентов включили автоматическое обновление и не придется предпринимать никаких действий, так как автоматическое обновление отозванных сертификатов будет устранять проблему, автоматически добавляя сертификаты в хранилище ненадежных сертификатов.
Автоматическое обновление отозванных сертификатов доступно для Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 через службу центра обновления Майкрософт и описано в статье базы знаний Майкрософт 2677070. Автоматическое обновление ненадежных сертификатов включается в предварительную версию выпуска Windows 8 и кандидат на выпуск Windows Server 2012.
Для конечных пользователей, у которых нет автоматического обновления отозванных сертификатов (2677070) или для систем, которые не подключены к Интернету, корпорация Майкрософт рекомендует вручную применить обновление КБ 2728973 немедленно. Дополнительные сведения о том, как вручную применить обновление вручную, см. в статье базы знаний Майкрософт 2728973.
Для администраторов и корпоративных установок корпорация Майкрософт рекомендует клиентам немедленно применять обновление с помощью программного обеспечения управления обновлениями. Дополнительные сведения об обновлении см. в статье базы знаний Майкрософт 2728973.
Дополнительные предлагаемые действия
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Клиенты могут узнать больше об этих шагах, перейдя на страницу "Защита компьютера".
Дополнительные сведения о безопасности в Интернете см . в Центре безопасности Майкрософт.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (10 июля 2012 г.): рекомендации, опубликованные.
- Версия 1.1 (11 июля 2012 г.): исправлена дата действия списка запрещенных сертификатов на "четверг, 21 июня 2012 г. (или более поздняя версия)" в записи часто задаваемых вопросов: "После применения обновления можно проверить сертификаты в хранилище сертификатов Майкрософт ненадежных сертификатов?"
- Версия 1.2 (5 сентября 2012 г.): исправлено общее имя сертификата CN=Microsoft Online Svcs BPOS APAC CA4, выданного PCA служб Майкрософт.
Построено в 2014-04-18T13:49:36Z-07:00