安全公告
Microsoft 安全咨询2641690
欺诈性数字证书可能允许欺骗
发布时间: 2011 年 11 月 10 日 |更新时间:2012 年 1 月 19 日
版本: 3.0
常规信息
执行摘要
Microsoft 知道 DigiCert Sdn。 Bhd 是委托和 GTE CyberTrust 下的马来西亚下属证书颁发机构(CA),已颁发了 22 个证书,其密钥为弱 512 位。 这些弱加密密钥(如果损坏)可能允许攻击者以欺诈方式使用证书欺骗内容、执行网络钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。 虽然这不是 Microsoft 产品中的漏洞,但此问题会影响所有受支持的 Microsoft Windows 版本。
DigiCert Sdn。 Bhd 不隶属于公司 DigiCert, Inc.,该公司是 Microsoft 根证书计划的成员。
没有迹象表明任何证书都以欺诈性颁发。 相反,加密弱密钥允许以欺诈方式复制和使用某些证书。
Microsoft 正在为吊销 DigiCert Sdn 中信任的所有受支持 Microsoft Windows 版本提供更新。 Bhd。 此更新将吊销以下两个中间 CA 证书的信任:
- Digisign 服务器 ID - (扩充),由 Entrust.net 证书颁发机构 (2048)
- 由 GTE CyberTrust 全局根颁发的 Digisign 服务器 ID (扩充)
建议。 Microsoft 建议客户使用更新管理软件立即应用更新,或使用 Microsoft 更新服务检查更新。 有关详细信息,请参阅 此公告的“建议的操作 ”部分。
已知问题。Microsoft 知识库文章2641690 记录客户在安装此更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2641690 |
受影响的软件和设备
此公告讨论了以下软件和设备。
| 受影响的软件 |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2* |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008* |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 和适用于 32 位系统的 Windows 7 Service Pack 1 |
| 基于 x64 的系统的 Windows 7 和基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统的 Windows Server 2008 R2 和基于 x64 的系统 Service Pack 1* 的 Windows Server 2008 R2* |
| 适用于基于 Itanium 的系统的 Windows Server 2008 R2 和适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
*服务器核心安装受到影响。 此公告适用于受支持的 Windows Server 2008 或 Windows Server 2008 R2 版本,如前所述,无论是否使用 Server Core 安装选项进行安装。 有关此安装选项的详细信息,请参阅 TechNet 文章:管理服务器核心安装和维护服务器核心安装。 请注意,Server Core 安装选项不适用于某些版本的 Windows Server 2008 和 Windows Server 2008 R2;请参阅 “比较服务器核心安装选项”。
| 受影响的设备 |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
常见问题
为什么此公告于 2012 年 1 月 19 日修订?Microsoft 修订了此公告,宣布发布了 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备的更新。 有关详细信息,请参阅 Microsoft 知识库文章2641690。
为什么此公告于 2011 年 11 月 16 日修订? Microsoft 修订了此公告,宣布重新发布 Windows XP Professional x64 Edition Service Pack 2 和所有受支持的 Windows Server 2003 版本的知识库(KB)2641690更新。 重新发布的更新解决了使用 Windows Server Update Services(WSUS)的客户指出的问题,其中未正确检测到更新的适用性。
Windows XP Professional x64 Edition Service Pack 2 和所有受支持的 Windows Server 2003 版本的客户应应用重新发布的知识库(KB)2641690更新版本,以防止使用欺诈性证书,如此公告中所述。 Windows XP Service Pack 3 和支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的客户不受此重新发布的影响。
大多数客户已启用自动更新,无需采取任何操作,因为重新发布的知识库(KB)2641690更新将自动下载并安装。
公告的范围是什么? 此公告的目的是通知客户 DigiCert Sdn。 Bhd 已颁发了 22 个证书,其中包含弱 512 位密钥。 这些弱密钥已允许某些证书遭到入侵。 Microsoft 在将两个中间 CA 证书移动到 Microsoft 不受信任的证书存储的更新中撤销了此从属 CA 的信任。
导致此问题的原因是什么? Microsoft 收到 Entrust(Microsoft 根证书计划中的 CA)通知,其下属 CA 之一 DigiCert Sdn。 Bhd 颁发了 22 个证书,其中包含弱 512 位密钥。 此外,此从属 CA 已颁发证书,无需适当的使用扩展或吊销信息。 这违反了 Microsoft 根证书计划要求。
没有迹象表明任何证书都以欺诈性颁发。 相反,加密弱密钥允许以欺诈方式复制和使用某些证书。 Entrust 和 GTE CyberTrust 撤销了颁发给 DigiCert Sdn 的中间 CA 证书。 Bhd。 Microsoft 正在提供一个更新,用于吊销这两个中间证书的信任,以进一步保护客户。
攻击者如何复制证书? 只能由拥有证书私钥的人员创建数字签名。 攻击者可以尝试猜测私钥,并使用数学技术来确定猜测是否正确。 成功猜测私钥的难度与密钥中使用的位数成正比。 因此,密钥越大,攻击者猜测私钥所需的时间就越长。 使用新式硬件,可以在短时间内成功猜出 512 位密钥。
攻击者如何使用欺诈性证书? 攻击者可以使用 512 位证书欺骗内容、执行网络钓鱼攻击,或针对包括 Internet Explorer 用户在内的所有 Web 浏览器用户执行中间人攻击。
Microsoft 在解决此问题时有什么帮助? 尽管此问题并非由任何 Microsoft 产品中的问题导致,但我们发布了一项更新,该更新将 Entrust 和 GTE CyberTrust 颁发的两个中间证书移动到 Microsoft 不受信任的证书存储。 Microsoft 建议客户立即应用更新。
什么是中间人攻击? 当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
撤销证书的过程是什么? 有一个标准过程应该允许证书颁发机构在使用证书时被接受。 每个证书颁发者定期生成证书吊销列表(CRL),其中列出了所有应被视为无效的证书。 每个证书都应提供一段称为 CRL 分发点(CDP)的数据,用于指示可以获取 CRL 的位置。
Web 浏览器使用联机证书状态协议(OCSP)验证数字证书标识的替代方法。 OCSP 允许通过连接到签名数字证书的证书颁发机构(CA)托管的 OCSP 响应程序对证书进行交互式验证。 每个证书都应通过证书中的颁发机构信息访问(AIA)扩展提供指向 OCSP 响应方位置的指针。 此外,OCSP 装订允许 Web 服务器本身向客户端提供 OCSP 验证响应。
默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。 在这些操作系统上,如果 OCSP 验证检查失败,浏览器将通过联系 CRL 位置来验证证书。
某些网络部署可能会阻止联机 OCSP 或 CRL 更新,因此 Microsoft 发布了所有版本的 Microsoft Windows 的更新,这些版本将这些证书添加到 Microsoft 不受信任的证书存储。 将这些证书移动到 Microsoft 不受信任的证书存储可确保这些欺诈性证书在所有网络部署方案中都不受信任。
有关证书吊销检查的详细信息,请参阅 TechNet 文章、证书吊销和状态检查。
如何实现知道我是否遇到无效的证书错误? 当 Internet Explorer 遇到无效证书时,用户会显示一个网页,其中显示“此网站的安全证书存在问题”。建议用户在显示此警告消息时关闭网页并离开网站。
只有在确定证书无效时,用户才会显示此消息,例如,当用户启用了证书吊销列表(CRL)或联机证书状态协议(OCSP)验证时。 默认情况下,在受支持版本的 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 上,Internet Explorer 7 及更高版本的 Internet Explorer 上启用 OCSP 验证。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书? 有关如何查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
在 “证书 MMC”管理单元中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| Digisign 服务器 ID - (扩充) | Entrust.net 证书颁发机构 (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign 服务器 ID (扩充) | GTE CyberTrust 全局根 | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
建议的操作
对于受支持的 Microsoft Windows 版本
大多数客户已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2641690更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871。
对于管理员和企业安装,或者想要手动安装知识库(KB)2641690更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或使用 Microsoft 更新服务检查更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2641690。
对于 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备
有关 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备的更新的信息,请参阅 Microsoft 知识库文章2641690。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2011 年 11 月 10 日):公告已发布。
- V2.0(2011 年 11 月 16 日):已修订,宣布重新发布知识库(KB)2641690更新。 有关详细信息,请参阅此公告中的更新常见问题解答。 此外,还在“执行摘要”中的“已知问题”下添加了指向 Microsoft 知识库文章2641690的链接。
- V3.0(2012 年 1 月 19 日):已修订,宣布发布 Windows Mobile 6.x、Windows 电话 7 和 Windows 电话 7.5 设备的更新。
生成于 2014-04-18T13:49:36Z-07:00