Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 2641690
Podvodné digitální certifikáty by mohly umožnit falšování identity
Publikováno: 10. listopadu 2011 | Aktualizováno: 19. ledna 2012
Verze: 3.0
Obecné informace
Shrnutí
Společnost Microsoft si uvědomuje, že DigiCert Sdn. Bhd, malajská podřízená certifikační autorita (CA) pod pověřením a GTE CyberTrust, vydala 22 certifikátů se slabými 512bitovými klíči. Tyto slabé šifrovací klíče, když jsou poškozené, můžou útočníkovi umožnit podvodně použít certifikáty k falšování obsahu, provádět útoky phishing nebo provádět útoky man-in-the-middle proti všem uživatelům webového prohlížeče, včetně uživatelů aplikace Internet Explorer. I když se nejedná o ohrožení zabezpečení v produktu Společnosti Microsoft, tento problém se týká všech podporovaných verzí systému Microsoft Windows.
DigiCert Sdn. Bhd není přidružený k společnosti DigiCert, Inc., která je členem programu Microsoft Root Certificate Program.
Žádné certifikáty nebyly vydány podvodně. Místo toho kryptograficky slabé klíče umožnily, aby některé certifikáty byly duplikovány a používány podvodným způsobem.
Společnost Microsoft poskytuje aktualizaci pro všechny podporované verze systému Microsoft Windows, které odvolá vztah důvěryhodnosti v digiCert Sdn. Bhd. Aktualizace odvolá vztah důvěryhodnosti následujících dvou zprostředkujících certifikátů certifikační autority:
- Digisign Server ID - (Enrich), vydané Entrust.net certifikační autoritou (2048)
- Digisign Server ID (Enrich), vydané GTE CyberTrust Global Root
Doporučení. Společnost Microsoft doporučuje, aby zákazníci tuto aktualizaci okamžitě použili pomocí softwaru pro správu aktualizací nebo kontrolou aktualizací pomocí služby Microsoft Update . Další informace najdete v části Navrhované akce v tomto poradci.
Známé problémy.Článek znalostní báze Microsoft Knowledge Base 2641690 dokumentuje aktuálně známé problémy, se kterými se zákazníci mohou setkat při instalaci této aktualizace. Článek také dokumentuje doporučená řešení těchto problémů.
Podrobnosti o poradci
Odkazy na problém
Další informace o tomto problému najdete v následujících odkazech:
| Reference | Identifikace |
|---|---|
| Článek znalostní báze Microsoft Knowledge Base | 2641690 |
Ovlivněný software a zařízení
Tento poradce popisuje následující software a zařízení.
| Ovlivněný software |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 pro 32bitové systémy Service Pack 2* |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2* |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 |
| Windows 7 pro 32bitové systémy a Windows 7 pro 32bitové systémy Service Pack 1 |
| Windows 7 pro systémy x64 a Windows 7 pro systémy založené na platformě x64 Service Pack 1 |
| Windows Server 2008 R2 pro systémy x64 a Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1* |
| Windows Server 2008 R2 pro počítače s procesorem Itanium a Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 |
*Ovlivněna instalace jádra serveru. Toto doporučení se týká podporovaných edicí systému Windows Server 2008 nebo Windows Server 2008 R2, jak je uvedeno, bez ohledu na to, jestli je nainstalovaná pomocí možnosti instalace jádra serveru. Další informace o této možnosti instalace najdete v článcích TechNet, Správa instalace jádra serveru a údržba instalace jádra serveru. Všimněte si, že možnost instalace jádra serveru se nevztahuje na některé edice systému Windows Server 2008 a Windows Server 2008 R2; Viz Porovnání možností instalace jádra serveru.
| Ovlivněná zařízení |
|---|
| Windows Mobile 6.x |
| Windows Telefon 7 |
| Windows Telefon 7.5 |
Nejčastější dotazy
Proč byl tento poradce revidovaný19. ledna 2012? Microsoft tento poradce upravil, aby oznámil vydání aktualizace pro zařízení s Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5. Další informace naleznete v článku znalostní báze Microsoft Knowledge Base 2641690.
Proč byl tento poradce revidovaný 16. listopadu 2011? Společnost Microsoft tuto radu revidovala, aby oznámila opětovné vydání aktualizace KB2641690 pro systém Windows XP Professional x64 Edition Service Pack 2 a všechny podporované edice systému Windows Server 2003. Opětovná aktualizace řeší problém, který si poznamenali zákazníci pomocí služby Windows Server Update Services (WSUS), kdy nebyla správně zjištěna použitelnost aktualizace.
Zákazníci se systémem Windows XP Professional x64 Edition Service Pack 2 a všemi podporovanými edicemi systému Windows Server 2003 by měli použít znovu uvedenou verzi aktualizace KB2641690, která bude chráněna před použitím podvodných certifikátů, jak je popsáno v tomto poradci. Zákazníci se systémem Windows XP Service Pack 3 a podporovanými edicemi systému Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2 nejsou tímto opětovným vydáním ovlivněny.
Většina zákazníků má povolenou automatickou aktualizaci a nebude muset provést žádnou akci, protože se automaticky stáhne a nainstaluje znovu KB2641690 aktualizace.
Jaký je rozsah poradenství? Účelem tohoto poradenství je informovat zákazníky, že DigiCert Sdn. Bhd vydal 22 certifikátů se slabými 512bitovými klíči. Tyto slabé klíče umožňují ohrožení některých certifikátů. Společnost Microsoft zrušila důvěryhodnost této podřízené certifikační autority v aktualizaci, která přesouvá dva zprostředkující certifikáty certifikační autority do úložiště certifikátů Nedůvěryhodných certifikátů společnosti Microsoft.
Co způsobilo problém? Společnost Microsoft byla oznámena certifikační autoritou v programu Microsoft Root Certificate Program, že jeden z podřízených certifikačních autorit DigiCert Sdn. Bhd, vydal 22 certifikátů se slabými 512bitovými klíči. Kromě toho tato podřízená certifikační autorita vydala certifikáty bez odpovídajících rozšíření využití nebo informací o odvolání. Jedná se o porušení požadavků programu Microsoft Root Certificate Program.
Žádné certifikáty nebyly vydány podvodně. Místo toho kryptograficky slabé klíče umožňují, aby některé certifikáty byly duplikovány a používány podvodným způsobem. Svěřte a GTE CyberTrust odvolali certifikáty zprostředkující certifikační autority vydané pro DigiCert Sdn. Bhd. Společnost Microsoft poskytuje aktualizaci, která odvolá vztah důvěryhodnosti těchto dvou zprostředkujících certifikátů k další ochraně zákazníků.
Jak může útočník duplikovat certifikát? Digitální podpis může vytvořit jenom osoba, která má soukromý klíč certifikátu. Útočník se může pokusit uhodnout privátní klíč a pomocí matematických technik určit, jestli je odhad správný. Potíže s úspěšným odhadem privátního klíče jsou úměrné počtu bitů použitých v klíči. Čím je klíč větší, tím déle útočník uhodne privátní klíč. Pomocí moderního hardwaru lze 512bitových klíčů úspěšně odhadnout za krátkou dobu.
Jakmůže útočník používat podvodné certifikáty? Útočník může použít 512bitové certifikáty k falšování obsahu, k útokům phishing nebo k útokům typu man-in-the-middle na všechny uživatele webového prohlížeče, včetně uživatelů Internet Exploreru.
Co Microsoft dělá, aby vám s řešením tohoto problému pomohl? I když tento problém nezpůsobí problém v žádném produktu Společnosti Microsoft, vydali jsme aktualizaci, která přesune dva zprostředkující certifikáty vydané službou Entrust a GTE CyberTrust do úložiště nedůvěryhodných certifikátů Společnosti Microsoft. Společnost Microsoft doporučuje, aby zákazníci tuto aktualizaci okamžitě použili.
Co je útok typu man-in-the-middle? Útok typu man-in-the-middle nastane, když útočník přesměruje komunikaci mezi dvěma uživateli prostřednictvím počítače útočníka bez znalosti dvou komunikujících uživatelů. Každý uživatel v komunikaci neúmyslně odesílá provoz a přijímá provoz od útočníka, a to i když si myslí, že komunikuje jenom s zamýšleným uživatelem.
Co je certifikační autorita (CA)? Certifikační autority jsou organizace, které vydávají certifikáty. Zřídí a ověří pravost veřejných klíčů, které patří lidem nebo jiným certifikačním autoritám, a ověří identitu osoby nebo organizace, která žádá o certifikát.
Jaký je postup odvolání certifikátu? Existuje standardní postup, který by měl certifikační autoritě umožnit, aby certifikáty nebyly přijaty, pokud se používají. Každý vystavitel certifikátu pravidelně generuje seznam odvolaných certifikátů (CRL), který uvádí všechny certifikáty, které by měly být považovány za neplatné. Každý certifikát by měl poskytnout část dat označovanou jako distribuční bod seznamu CRL (CDP), která označuje umístění, kde lze získat CRL.
Alternativní způsob, jak webové prohlížeče ověřit identitu digitálního certifikátu, je použití protokolu OCSP (Online Certificate Status Protocol). OCSP umožňuje interaktivní ověření certifikátu připojením k respondéru OCSP hostovaným certifikační autoritou, která digitální certifikát podepsala. Každý certifikát by měl poskytnout ukazatel na umístění respondéru OCSP prostřednictvím rozšíření AIA (Authority Information Access) v certifikátu. Kromě toho připojení OCSP umožňuje samotnému webovému serveru poskytnout klientovi odpověď na ověření OCSP.
Ověřování OCSP je ve výchozím nastavení povolené v aplikaci Internet Explorer 7 a novějších verzích aplikace Internet Explorer v podporovaných edicích systému Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2. Pokud v těchto operačních systémech selže kontrola ověření OCSP, prohlížeč ověří certifikát kontaktováním umístění seznamu CRL.
Některá síťová nasazení můžou bránit aktualizacím programu OCSP nebo CRL online, aby společnost Microsoft vydala aktualizaci pro všechny verze systému Microsoft Windows, které tyto certifikáty přidá do úložiště nedůvěryhodných certifikátů společnosti Microsoft. Přesunutí těchto certifikátů do nedůvěryhodného úložiště certifikátů společnosti Microsoft zajišťuje, že tyto podvodné certifikáty nejsou důvěryhodné ve všech scénářích nasazení sítě.
Další informace o kontrole odvolání certifikátu najdete v článku TechNetu, odvolání certifikátu a kontrola stavu.
Návody vědět, jestli došlo k chybě neplatného certifikátu? Když Internet Explorer narazí na neplatný certifikát, zobrazí se uživatelům webová stránka s textem "Došlo k problému s certifikátem zabezpečení tohoto webu". Uživatelům se doporučuje zavřít webovou stránku a přejít mimo web, když se zobrazí tato zpráva s upozorněním.
Uživatelům se tato zpráva zobrazí pouze v případě, že je certifikát neplatný, například pokud má uživatel povolený seznam odvolaných certifikátů (CRL) nebo ověřování OCSP (Online Certificate Status Protocol). Ověřování OCSP je ve výchozím nastavení povolené v aplikaci Internet Explorer 7 a novějších verzích aplikace Internet Explorer v podporovaných edicích systému Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.
Jak můžu po instalaci aktualizace ověřit certifikáty v úložišti nedůvěryhodných certifikátů společnosti Microsoft? Informace o tom, jak zobrazit certifikáty, naleznete v článku MSDN, Postupy: Zobrazení certifikátů pomocí modulu snap-in MMC.
V modulu snap-in Certifikáty konzoly MMC ověřte, že byly do složky Nedůvěryhodné certifikáty přidány následující certifikáty:
| Certifikát | Vydal(a) | Kryptografický otisk |
|---|---|---|
| ID serveru Digisign – (obohacení) | Entrust.net certifikační autorita (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| ID serveru Digisign (obohacení) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Navrhované akce
Podporované verze Systému Microsoft Windows
Většina zákazníků má povolenou automatickou aktualizaci a nebude muset provést žádnou akci, protože aktualizace KB2641690 se stáhne a nainstaluje automaticky. Zákazníci, kteří nepovolili automatickou aktualizaci, potřebují vyhledat aktualizace a nainstalovat tuto aktualizaci ručně. Informace o konkrétních možnostech konfigurace při automatické aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 294871.
U správců a podnikových instalací nebo koncových uživatelů, kteří chtějí nainstalovat aktualizaci KB2641690 ručně, společnost Microsoft doporučuje, aby tuto aktualizaci okamžitě použili pomocí softwaru pro správu aktualizací nebo kontrolou aktualizací pomocí služby Microsoft Update . Další informace o ruční instalaci aktualizace naleznete v článku znalostní báze Microsoft Knowledge Base 2641690.
Pro zařízení s Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5
Informace o aktualizaci pro zařízení se systémem Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5 naleznete v článku znalostní báze Microsoft Knowledge Base 2641690.
Další navrhované akce
Ochrana počítače
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně počítače při povolování brány firewall, získávání aktualizací softwaru a instalaci antivirového softwaru. Další informace o těchto krocích můžou zákazníci získat v části Ochrana počítače.
Další informace o tom, jak zůstat v bezpečí na internetu, naleznete na webu Microsoft Security Central.
Udržovat software společnosti Microsoft aktualizovaný
Uživatelé, kteří používají software společnosti Microsoft, by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte web Microsoft Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny aktualizace s vysokou prioritou, které jsou vám nabízeny. Pokud máte povolenou a nakonfigurovanou automatickou aktualizaci pro produkty Microsoftu, budou vám aktualizace doručeny při jejich vydání, ale měli byste ověřit, že jsou nainstalované.
Další informace
Program Microsoft Active Protections (MAPP)
Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partnerů.
Váš názor
- Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.
Technická podpora
- Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
- Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.
Právní doložka
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (10. listopadu 2011): Poradce publikováno.
- V2.0 (16. listopadu 2011): Revidováno, aby oznámilo opětovné vydání aktualizace KB2641690. Další informace najdete v nejčastějších dotazech k aktualizaci v tomto poradci. Přidali jsme také odkaz na článek znalostní báze Microsoft Knowledge Base 2641690 v části Známé problémy v souhrnu vedení.
- V3.0 (19. ledna 2012): Revidované a oznamuje vydání aktualizace pro zařízení s Windows Mobile 6.x, Windows Telefon 7 a Windows Telefon 7.5.
Postaveno v 2014-04-18T13:49:36Z-07:00