安全公告
Microsoft 安全咨询2798897
欺诈性数字证书可能允许欺骗
发布时间: 2013 年 1 月 3 日 |更新时间:2013 年 1 月 14 日
版本: 1.1
常规信息
执行摘要
Microsoft 知道使用一个由 TURKTRUST Inc.颁发的欺诈性数字证书(该证书是受信任的根证书颁发机构存储中的 CA)主动攻击。 此欺诈性证书可用于欺骗内容、执行钓鱼攻击或执行中间人攻击。 此问题会影响 Microsoft Windows 的所有受支持版本。
TURKTRUST Inc. 错误地创建了两个子公司 CA(*.EGO.GOV.TR 和 e-islem.kktcmerkezbankasi.org)。 然后,*.EGO.GOV.TR 子公司 CA 用于向 *.google.com 颁发欺诈性数字证书。 此欺诈性证书可用于欺骗内容、执行钓鱼攻击,或针对多个 Google Web 属性执行中间人攻击。
为了帮助保护客户免受此数字证书的欺诈性使用,Microsoft 正在更新证书信任列表(CTL),并为 Microsoft Windows 的所有受支持版本提供更新,该版本删除了导致此问题的证书的信任。 有关这些证书的详细信息,请参阅 此公告的常见问题解答 部分。
建议。 对于使用已吊销证书自动更新程序的系统(有关详细信息,请参阅 Microsoft 知识库文章2677070),包括 Windows 8、Windows RT、Windows Server 2012 和运行 Windows 电话 8 的设备,无需执行任何操作,因为这些系统将自动受到保护。
对于选择不安装已吊销证书自动更新器的 Windows XP 和 Windows Server 2003 客户或客户,Microsoft 建议使用更新管理软件立即应用2798897更新,方法是使用 Microsoft 更新服务检查更新,或者手动下载和应用更新。 有关详细信息,请参阅 此公告的“建议的操作” 部分。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2798897 |
受影响的软件和设备
此公告讨论了以下受影响的软件和设备。
| 受影响的软件 |
|---|
| 操作系统 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| 适用于 32 位系统的 Windows 7 |
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Windows 7 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的 Windows Server 2008 R2 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 面向基于 Itanium 系统的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| Windows 8 |
| Windows Server 2012 |
| Windows RT |
| 服务器核心安装选项 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装) |
| Windows Server 2012 (服务器核心安装) |
| 受影响的设备 |
| Windows Phone 8 |
| 受影响的设备 |
|---|
| Windows Phone 7 |
| Windows Phone 7.5 |
| Windows Phone 7.8 |
常见问题
公告的范围是什么?
此公告的目的是通知客户,Microsoft 已确认在影响多个 Google Web 属性的活动攻击中使用了一个欺诈性数字证书。 此证书和其他两个证书不受信任,并已添加到 CTL。 对于使用已吊销证书自动更新程序的系统(有关详细信息,请参阅 Microsoft 知识库文章2677070 ),包括 Windows 8、Windows RT 和 Windows Server 2012,无需执行任何操作,因为这些系统将自动受到保护。
对于 Windows XP 和 Windows Server 2003 客户,未安装 Microsoft 知识库文章2677070或无法连接到 Microsoft 更新的任何断开连接的系统,Microsoft Windows 的所有受支持版本的更新都可用于解决此问题。
导致此问题的原因是什么?
Microsoft 意识到使用一个由 TURKTRUST Inc.颁发的欺诈性数字证书(该证书是受信任的根证书颁发机构商店中的 CA)主动攻击。 TURKTRUST Inc. 错误地创建了两个子公司 CA(*.EGO.GOV.TR 和 e-islem.kktcmerkezbankasi.org)。 *.EGO.GOV.TR 用于向 *.google.com 颁发欺诈性数字证书。 此欺诈性证书可用于欺骗内容、执行钓鱼攻击,或针对多个 Google Web 属性执行中间人攻击。
调查期间,*.EGO.GOV.TR 和 e-islem.kktcmerkezbankasi.org 证书被识别为颁发错误;它们缺少 CRL 或 OCSP 扩展,并错误地作为最终实体证书颁发。 因此,作为预防措施,我们也撤销了这些证书的信任。
此更新是否解决了任何其他数字证书?
是的,除了解决此公告中所述的证书外,此更新是累积的,包括前面公告中所述的数字证书:Microsoft 安全咨询2524375、Microsoft 安全咨询2607712、Microsoft 安全咨询2641690、Microsoft 安全顾问2718704和 Microsoft 安全咨询2728973。
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其相关信息(谁拥有它、其用途、到期时间等)。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)? 签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
攻击者可能会对这些证书执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击,或针对以下 Web 属性执行中间人攻击:
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
Microsoft 在解决此问题时有什么帮助?
尽管此问题并非由任何 Microsoft 产品中的问题导致,但我们仍在更新 CTL 并提供更新来帮助保护客户。 Microsoft 将继续调查此问题,并可能会对 CTL 进行将来的更改,或发布将来的更新以帮助保护客户。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
对于使用已吊销证书的自动更新程序(有关详细信息,请参阅 Microsoft 知识库文章2677070),包括 Windows 8、Windows RT 和 Windows Server 2012,可以在具有以下值的条目的事件查看器中检查应用程序日志:
- 来源:CAPI2
- 级别:信息
- 事件 ID:4112
- 说明:已成功更新包含生效日期的不允许证书列表:2012 年 12 月 31 日星期一(或更高版本)。
对于未使用已吊销证书的自动更新程序的系统,在 “证书 MMC 管理单元”中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| *.google.com | *.EGO.GOV.TR | 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3 |
| e-islem.kktcmerkezbankasi.org | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb |
| *.EGO.GOV.TR | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1 |
注意 有关如何使用 MMC 管理单元查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
建议的操作
对于受支持的 Microsoft Windows 版本
具有已吊销证书自动更新程序(Microsoft 知识库文章2677070)的客户无需采取任何操作,因为 CTL 将自动更新。
请注意,运行 Windows 电话 8 的设备包含已吊销证书的自动更新程序,并将自动更新。
对于希望使用吊销证书自动更新程序自动保护的管理员和企业安装,请查看 Microsoft 知识库文章2677070 ,以帮助确保它适合你的环境,因为断开连接的系统或具有严格出口筛选的环境需要额外的考虑。
对于选择不安装已吊销证书自动更新器的 Windows XP 和 Windows Server 2003 客户或客户,Microsoft 建议使用更新管理软件立即应用2798897更新,方法是使用 Microsoft 更新服务检查更新,或者手动下载和应用更新。 有关下载链接,请参阅 Microsoft 知识库文章2798897 。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 亚当·兰利和 谷歌 Chrome 安全团队 将事件引起我们的注意,并与我们合作处理响应
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 1 月 3 日):已发布公告。
- V1.1(2013 年 1 月 14 日):更正了“2012 年 12 月 31 日星期一(或更高版本)”中不允许的证书列表,在常见问题解答条目“应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?”
生成于 2014-04-18T13:49:36Z-07:00