Microsoft Security Advisory 3097966

  • Artikel

Versehentlich offengelegte digitale Zertifikate könnten Spoofing zulassen

Veröffentlicht: 24. September 2015 | Aktualisiert: 13. Oktober 2015

Version: 2.0

Kurzfassung

Am 24. September 2015 hat Microsoft diese Empfehlung veröffentlicht, um Kunden über vier versehentlich offengelegte digitale Zertifikate zu informieren, die zum Spoofen von Inhalten verwendet werden können, und um eine Aktualisierung der Zertifikatvertrauensliste (Certificate Trust List, CTL) bereitzustellen, um die Vertrauensstellung im Benutzermodus für die Zertifikate zu entfernen. Wie berichtet, können die offengelegten Endentitätszertifikate nicht verwendet werden, um andere Zertifikate auszustellen oder andere Do Standard s zu imitieren, aber zum Signieren von Code verwendet werden können. Darüber hinaus haben die jeweiligen ausstellenden Zertifizierungsstellen die vier Zertifikate widerrufen.

Mit der Überarbeitung dieser Empfehlung vom 13. Oktober 2015 kündigt Microsoft die Verfügbarkeit eines Updates für alle unterstützten Versionen von Windows an, die die Codeintegritätskomponente in Windows ändert, um die Entfernung von Vertrauensstellungen für die Zertifikate zu erweitern, um auch die Kernelmodus-Codesignierung auszuschließen.

Empfehlung Anweisungen zum Anwenden der Updates für bestimmte Versionen von Microsoft Windows finden Sie im Abschnitt "Vorgeschlagene Aktionen". Beachten Sie, dass sowohl das am 24. September 2015 veröffentlichte CTL-Update als auch das am 13. Oktober 2015 veröffentlichte Windows-Update erforderlich sind, damit betroffene Systeme vor diesem Problem geschützt werden können.

Bekannte Probleme. Microsoft Knowledge Base-Artikel 3097966 dokumentiert ein derzeit bekanntes Problem, das Kunden beim Installieren des Updates vom 13. Oktober 2015 erleben können. Der Artikel dokumentiert auch eine empfohlene Lösung.

Beratungsdetails

Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:

Informationsquellen Identifikation
Knowledge Base-Artikel 3097966

Betroffene Software

Diese Empfehlung gilt für die folgenden Betriebssysteme:

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 für 32-Bit-Systeme
Windows 8.1 für x64-basierte Systeme
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 für 32-Bit-Systeme[2]\ (3097617)
Windows 10 für x64-basierte Systeme[2]\ (3097617)
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)
Windows Server 2012 R2 (Server Core-Installation)
Betroffene Geräte
Windows Telefon 8[1]
Windows Telefon 8.1[1]

Hinweis: Windows Server Technical Preview 3 ist betroffen. Kunden, die dieses Betriebssystem ausführen, werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.

[1]Windows Telefon 8- und Windows Telefon 8.1-Geräte erhielten automatisch das CTL-Update vom 24. September 2015. Diese Geräte lassen jedoch keine Installation von Treibern von Drittanbietern zu, auch wenn sie signiert sind, sodass das sekundäre Update vom 13. Oktober 2015 nicht erforderlich ist.

[2]Das Windows 10-Update ist kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthält es auch alle Sicherheitsupdates für alle windows 10-betroffenen Sicherheitsrisiken, die mit der betreffenden Sicherheitsversion des Monats bereitgestellt werden. Das Update ist über den Windows Update-Katalog verfügbar. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3097617 .

Häufig gestellte Fragen zu Beratungen

Warum wurde diese Empfehlung am 13. Oktober 2015 überarbeitet?
Die Empfehlung wurde am 13. Oktober 2015 überarbeitet, um Kunden darüber zu informieren, dass ein Windows-Update verfügbar ist, das die Codeintegritätskomponente in Windows ändert, um die Entfernung von Vertrauen für die vier digitalen Zertifikate zu erweitern, um auch die Codesignierung im Kernelmodus auszuschließen. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3097966. Beachten Sie, dass sowohl das am 24. September 2015 veröffentlichte CTL-Update als auch das am 13. Oktober 2015 veröffentlichte Windows-Update erforderlich sind, damit betroffene Systeme vor dem in dieser Empfehlung erläuterten Problem geschützt werden.

Was ist der Umfang der Beratung? 
Zweck dieser Empfehlung ist es, Kunden über Updates für Windows und die Zertifikatvertrauensliste (Certificate Trust List, CTL) zu benachrichtigen, um die Vertrauensstellung im Benutzermodus und die Codesignaturvertrauensstellung für vier digitale Zertifikate zu entfernen und dass die entsprechenden ausstellenden Zertifizierungsstellen (Certificate Authorities, CAs) die Zertifikate widerrufen haben.

Was hat das Problem verursacht? 
Das Problem wurde durch versehentliche Veröffentlichung der Zertifikate durch die D-Link Corporation verursacht.

Adresst das CTL-Update andere digitale Zertifikate?
Ja, zusätzlich zu den in dieser Empfehlung beschriebenen Zertifikaten ist das ursprünglich am 24. September 2015 veröffentlichte CTL-Update kumulativ und enthält digitale Zertifikate, die in früheren Empfehlungen beschrieben wurden:

Was ist Kryptografie? 
Kryptografie ist die Wissenschaft der Sicherung von Informationen, indem sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einer konvertiert wird, in dem die Daten verdeckt werden (sogenannter Chiffretext).

In allen Formen der Kryptografie wird ein Als Schlüssel bezeichneter Wert in Verbindung mit einem Verfahren verwendet, das als Kryptoalgorithmus bezeichnet wird, um Nur-Text-Daten in Chiffretext umzuwandeln. In der bekanntesten Art von Kryptografie, Geheimschlüssel-Kryptografie, wird der Chiffretext mithilfe desselben Schlüssels wieder in Nur-Text umgewandelt. In einer zweiten Art von Kryptografie wird jedoch ein anderer Schlüssel verwendet, um den Chiffretext wieder in Nur-Text umzuwandeln.

Was ist ein digitales Zertifikat?  
Bei der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt (wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.).

Wofür werden Zertifikate verwendet? 
Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie nicht über Zertifikate nachdenken. Möglicherweise wird ihnen jedoch eine Meldung angezeigt, die besagt, dass ein Zertifikat abgelaufen oder ungültig ist. In diesen Fällen sollten Sie die Anweisungen in der Nachricht befolgen.

Was ist eine Zertifizierungsstelle (CA)?  
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.

Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?  
Eine Vertrauensstellung muss zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht vorhanden sein. Eine Methode zur Einrichtung dieses Vertrauens ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen sind, die sie sein wollen. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, die von beiden anderen Parteien als vertrauenswürdig eingestuft wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Wurzeln überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Themen bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel " Zertifikatvertrauensüberprüfung.For more information, please see the MSDN article, Certificate Trust Verification.

Was kann ein Angreifer mit diesen Zertifikaten tun? 
Ein Angreifer könnte die Zertifikate zum betrügerischen Signieren von Code verwenden.

Was tut Microsoft, um dieses Problem zu beheben?  
Obwohl dieses Problem nicht auf ein Problem in einem Microsoft-Produkt resultiert, aktualisieren wir dennoch die CTL und stellen ein Windows-Update bereit, um Kunden zu schützen. Microsoft wird dieses Problem weiterhin untersuchen und kann zukünftige Änderungen an der CTL vornehmen oder ein zukünftiges Update veröffentlichen, um Kunden zu schützen.

Wie kann ich nach dem Anwenden des CTL-Updates überprüfen, ob sich das Zertifikat im Microsoft-Speicher für nicht vertrauenswürdige Zertifikate befindet?
Für Windows Vista, Windows 7, Windows Server 2008, und Windows Server 2008 R2-Systeme, die den automatischen Updater für widerrufene Zertifikate verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070), und für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10-Systeme können Sie das Anwendungsprotokoll im Ereignisanzeige auf einen Eintrag mit den folgenden Werten überprüfen:

  • Quelle: CAPI2
  • Ebene: Information
  • Ereignis-ID: 4112
  • Beschreibung: Erfolgreiche automatische Aktualisierung der nicht zulässigen Zertifikatliste mit Gültigkeitsdatum: Mittwoch, 23. September 2015 (oder höher).

Überprüfen Sie bei Systemen, die nicht den automatischen Updater für widerrufene Zertifikate verwenden, im MMC-Snap-In "Zertifikate", ob das folgende Zertifikat dem Ordner "Nicht vertrauenswürdige Zertifikate " hinzugefügt wurde:

Certificate **Ausgestellt von ** Fingerabdruck
DLINK CORPORATION Symantec Corporation 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb
Alphanetzwerke Symantec Corporation 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 69 62 04 fd 59 aa 3b
KEEBOX GoDaddy.com, LLC 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c
Trendnet GoDaddy.com, LLC db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

Hinweis: Informationen zum Anzeigen von Zertifikaten mit dem MMC-Snap-In finden Sie im MSDN-Artikel " How to: View Certificates with the MMC Snap-in".

Vorgeschlagene Aktionen

  • Anwenden des am 13. Oktober 2015 veröffentlichten 3097966 Updates

    Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das 3097966 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 3097966.

    Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das 3097966 Update manuell installieren möchten, empfiehlt Microsoft Kunden, das Update sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 3097966.

  • Wenden Sie das am 24. September 2015 veröffentlichte CTL-Update an (sofern noch nicht angewendet)

    Ein automatischer Updater von widerrufenen Zertifikaten ist in unterstützten Editionen von Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 und Windows 10 und für Geräte mit Windows Telefon 8 und Windows Telefon 8.1 enthalten. Für diese Betriebssysteme oder Geräte müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.

    Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, die den automatischen Updater für widerrufene Zertifikate verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ), müssen Kunden keine Maßnahmen ergreifen, da diese Systeme automatisch geschützt werden.

    Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, die nicht über die automatische Aktualisierung widerrufener Zertifikate verfügen, ist dieses Update nicht verfügbar. Um dieses Update zu erhalten, müssen Kunden den automatischen Updater von widerrufenen Zertifikaten installieren (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ). Kunden in getrennten Umgebungen, die Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausführen, können Update-2813430 installieren, um dieses Update zu erhalten (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430 ).

Weitere vorgeschlagene Aktionen

  • Schützen Ihres PCs

    Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.

  • Aktualisieren der Microsoft-Software

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel 3097966.

Sonstige Informationen

Feedback

Unterstützung

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (24. September 2015): Empfehlung veröffentlicht.
  • V2.0 (13. Oktober 2015): Empfehlung überarbeitet, um Kunden darüber zu informieren, dass ein Update verfügbar ist, das die Codeintegritätskomponente in Windows ändert, um die Entfernung von Vertrauen für die vier digitalen Zertifikate zu erweitern, die von dieser Empfehlung adressiert werden, um auch die Codesignierung im Kernelmodus auszuschließen.

Seite generiert 2015-11-16 08:35-08:00.