• 项目

安全公告

Microsoft 安全咨询2728973

未经授权的数字证书可能允许欺骗

发布时间: 2012 年 7 月 10 日 |更新时间:2012 年 9 月 5 日

版本: 1.2

常规信息

执行摘要

Microsoft 知道建议的安全存储做法之外的 Microsoft 证书颁发机构。 在例行审查后,我们将这些证书放置在不受信任的证书存储中,并将其替换为符合我们高标准的公钥基础结构(PKI)管理的新证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。 此问题会影响 Microsoft Windows 的所有受支持版本。

Microsoft 正在为所有受支持的 Microsoft Windows 版本提供更新。 此更新将以下中间 CA 证书放置在不受信任的证书存储中:

  • Microsoft 正版 Windows 电话公共预览版 CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • CN=Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (2 个证书)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (2 个证书)
  • Microsoft Online Svcs CA3 (2 个证书)
  • Microsoft Online Svcs CA4 (2 个证书)
  • Microsoft Online Svcs CA5 (2 个证书)
  • Microsoft Online Svcs CA6

建议。 对于受支持的 Microsoft Windows 版本,Microsoft 建议客户立即应用更新。 有关详细信息,请参阅 此公告的“建议的操作” 部分。

已知问题。Microsoft 知识库文章2728973 记录客户在安装此更新时可能会遇到的当前已知问题。

咨询详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
Microsoft 知识库文章 2728973 

受影响的软件和设备

此公告讨论了以下受影响的软件和设备。

受影响的软件
操作系统
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 for Itanium 基于系统的 SP2
Windows Vista Service Pack 2
Windows Vista x64 版本 Service Pack 2
Windows Server 2008 for 32 位系统 Service Pack 2
基于 x64 的系统 Service Pack 2 的 Windows Server 2008
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008
适用于 32 位系统的 Windows 7
Windows 7 for 32 位系统 Service Pack 1
基于 x64 的系统 Windows 7
基于 x64 的系统 Service Pack 1 的 Windows 7
基于 x64 的 Windows Server 2008 R2
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2
面向基于 Itanium 系统的 Windows Server 2008 R2
适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2
服务器核心安装选项
Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装)
基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装)
适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2
基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装)

 

受影响的设备
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

常见问题

公告的范围是什么?
此公告的目的是通知客户 Microsoft 了解建议的安全存储做法之外的 Microsoft 证书颁发机构。 经过例行审查并小心谨慎,我们将这些证书放在不受信任的证书存储中,并将其替换为符合我们高标准公钥基础结构(PKI)管理的新证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。 此问题会影响 Microsoft Windows 的所有受支持版本。

Microsoft 已针对解决该问题的所有受支持的 Microsoft Windows 版本发布了更新。

此更新是否解决了任何其他未经授权的数字证书?
是的,除了解决此公告中所述的 28 个未经授权的证书外,此更新是累积的,用于解决先前公告中所述的未经授权的数字证书:Microsoft 安全咨询2524375、Microsoft 安全咨询2607712Microsoft 安全顾问2641690Microsoft 安全咨询2718704

请注意,虽然此更新解决了先前公告中所述的证书,但此更新不包含前面公告中引入的所有功能。 有关详细信息,请参阅 Microsoft 知识库文章2728973中的已知问题。

Windows 8 版本预览版还是 Windows Server 2012 候选版本受此公告中解决的问题影响?
是的。 此更新适用于 Windows 8 版本预览版和 Windows Server 2012 候选版本。 鼓励具有 Windows 8 版本预览版和 Windows Server 2012 候选版本的客户对其系统应用更新。 有关如何为 Windows 8 版本预览版和 Windows Server 2012 版本预览版应用更新的信息,请参阅 此公告的“建议的操作 ”部分。

什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。

在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。

什么是数字证书?
公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其拥有者、其用途、过期时间等信息。

用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。

什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。

什么是证书信任列表(CTL)? 签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。

导致此问题的原因是什么?
Microsoft 知道建议的安全存储做法之外的 Microsoft 证书颁发机构。 我们不知道任何滥用证书颁发机构,但正在采取先发制人的行动来保护客户。

攻击者可能使用此问题执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击或执行中间人攻击。

什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。

Microsoft 在解决此问题时有什么帮助?
我们已将受影响的 Microsoft 证书颁发机构置于不受信任的证书存储中,并将其替换为符合我们高标准公钥基础结构(PKI)管理的新证书颁发机构。

应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
对于使用吊销证书自动更新程序的系统(有关详细信息,请参阅 Microsoft 知识库文章2677070),包括 Windows 8 版本预览版和 Windows Server 2012 候选版本,可以在事件查看器中检查应用程序日志,以获取具有以下值的条目:

  • 来源:CAPI2
  • 级别:信息
  • 事件 ID:4112
  • 说明:成功自动更新无效证书列表,生效日期为:2012 年 6 月 21 日星期四(或更高版本)。

对于未使用已吊销证书的自动更新程序的系统,在 “证书 MMC 管理单元”中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:

证书 颁发者 指纹
Microsoft 正版 Windows 电话公共预览版 CA01 Microsoft Windows 电话 PCA e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38
Microsoft IPTVe CA Microsoft 家庭娱乐 PCA be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf
Microsoft Online CA001 Microsoft Services PCA a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02
Microsoft Online Svcs BPOS APAC CA1 Microsoft Services PCA d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77
Microsoft Online Svcs BPOS APAC CA2 Microsoft Services PCA d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b
Microsoft Online Svcs BPOS APAC CA3 Microsoft Services PCA e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9
CN=Microsoft Online Svcs BPOS APAC CA4 Microsoft Services PCA 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83
Microsoft Online Svcs BPOS APAC CA5 Microsoft Services PCA d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e
Microsoft Online Svcs BPOS APAC CA6 Microsoft Services PCA 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02
Microsoft Online Svcs BPOS CA1 Microsoft Services PCA 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b
Microsoft Online Svcs BPOS CA2 Microsoft Services PCA 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92
Microsoft Online Svcs BPOS CA2 Microsoft Services PCA 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f
Microsoft Online Svcs BPOS CA2 Microsoft Services PCA f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a
Microsoft Online Svcs BPOS EMEA CA1 Microsoft Services PCA a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd
Microsoft Online Svcs BPOS EMEA CA2 Microsoft Services PCA e9 80 9e 02 3b 45 12 aa 4d 53 f4 05 69 c3 13 c1 d0 29 4d
Microsoft Online Svcs BPOS EMEA CA3 Microsoft Services PCA a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6
Microsoft Online Svcs BPOS EMEA CA4 Microsoft Services PCA 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f
Microsoft Online Svcs BPOS EMEA CA5 Microsoft Services PCA 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17
Microsoft Online Svcs BPOS EMEA CA6 Microsoft Services PCA 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73
Microsoft Online Svcs CA1 Microsoft Services PCA 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e
Microsoft Online Svcs CA1 Microsoft Services PCA a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66
Microsoft Online Svcs CA3 Microsoft Services PCA 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6
Microsoft Online Svcs CA3 Microsoft Services PCA 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce
Microsoft Online Svcs CA4 Microsoft Services PCA 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f
Microsoft Online Svcs CA4 Microsoft Services PCA 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86
Microsoft Online Svcs CA5 Microsoft Services PCA a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5
Microsoft Online Svcs CA5 Microsoft Services PCA 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b
Microsoft Online Svcs CA6 Microsoft Services PCA 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e

注意 有关如何使用 MMC 管理单元查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。

建议的操作

对于受支持的 Windows XP 和 Windows Server 2003 版本

大多数客户都已启用自动更新,无需采取任何操作,因为将自动下载并安装知识库(KB)2728973更新。 未启用自动更新的客户需要检查更新并手动安装此更新。 有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章294871

对于管理员和企业安装,或者想要手动安装知识库(KB)2728973更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用更新,或者检查使用 Microsoft 更新服务进行更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2728973

对于受支持的 Windows Vista 版本、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 版本预览版和 Windows Server 2012 版本预览版

大多数客户都启用了自动更新,并且不需要采取任何操作,因为吊销证书的自动更新程序将通过自动将证书添加到不受信任的证书存储来解决该问题。

吊销证书的自动更新程序通过 Microsoft 更新服务适用于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2,并在 Microsoft 知识库文章2677070介绍。 不受信任的证书的自动更新程序包含在 Windows 8 版本预览版和 Windows Server 2012 候选版中。

对于没有已吊销证书(2677070)或未连接到 Internet 的系统自动更新的最终用户,Microsoft 建议客户立即手动应用知识库(KB)2728973更新。 有关如何手动应用更新的详细信息,请参阅 Microsoft 知识库文章2728973

对于管理员和企业安装,Microsoft 建议客户使用更新管理软件立即应用更新。 有关更新的详细信息,请参阅 Microsoft 知识库文章2728973

其他建议的操作

  • 保护电脑

    我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。

    有关在 Internet 上保持安全的详细信息,请访问 Microsoft 安全中心

  • 使 Microsoft 软件更新保持更新

    运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。

其他信息

Microsoft Active Protections 计划 (MAPP)

为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴列出。

反馈

支持

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2012 年 7 月 10 日):公告已发布。
  • V1.1(2012 年 7 月 11 日):更正了“2012 年 6 月 21 日星期四(或更高版本)”中不允许的证书列表,在常见问题解答条目“应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?”
  • V1.2(2012 年 9 月 5 日):更正了 Microsoft 服务 PCA 颁发的“CN=Microsoft Online Svcs BPOS APAC CA4”证书的公用名。

生成于 2014-04-18T13:49:36Z-07:00