Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2641690

Betrügerische digitale Zertifikate können Spoofing ermöglichen

Veröffentlicht: Donnerstag, 10. November 2011 | Aktualisiert: Donnerstag, 19. Januar 2012

Version: 3.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist bekannt, dass DigiCert Sdn. Bhd, eine untergeordnete malaysische Zertifizierungsstelle (CA) unter Entrust und GTE CyberTrust, 22 Zertifikate mit schwachen 512-Bit-Schlüsseln veröffentlicht hat. Wenn diese schwachen Verschlüsselungsschlüssel entschlüsselt werden, kann ein Angreifer die Zertifikate in betrügerischer Absicht verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe gegen alle Webbrowser-Benutzer durchzuführen, einschließlich Benutzern von Internet Explorer. Dies ist zwar keine Sicherheitsanfälligkeit in einem Microsoft-Produkt, doch dieses Problem betrifft alle unterstützten Veröffentlichungen von Microsoft Windows.

DigiCert Sdn. Bhd ist nicht dem Unternehmen DigiCert, Inc. angeschlossen, welches ein Mitglied des Microsoft-Programms für Stammzertifikate ist.

Es gibt keine Hinweise, dass Zertifikate in betrügerischer Absicht ausgestellt wurden. Stattdessen konnten aufgrund kryptografisch schwacher Schlüssel einige der Zertifikate dupliziert und in betrügerischer Absicht verwendet werden.

Microsoft stellt ein Update für alle unterstützten Veröffentlichungen von Microsoft Windows bereit, mit denen das Vertrauen in DigiCert Sdn. Bhd. widerrufen wird. Das Update widerruft das Vertrauen gegenüber den beiden folgenden vorläufigen CA Zertifikaten:

  • Digisign Server ID – (Enrich), veröffentlicht von der Zertifizierungsstelle Entrust.net (2048)
  • Digisign Server ID (Enrich), veröffentlicht von GTE CyberTrust Global Root

Empfehlung. Microsoft empfiehlt Endbenutzern, das Update umgehend mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2641690 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Updates unter Umständen auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Microsoft Knowledge Base-Artikel 2641690

Betroffene Software und Geräte

In dieser Empfehlung werden folgende Software und Geräte erörtert.

Betroffene Software
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme Service Pack 2*
Windows Server 2008 für x64-basierte Systeme Service Pack 2*
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1*
Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

*Die Server Core-Installation ist betroffen. Diese Sicherheitsempfehlung gilt für unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2, unabhängig davon, ob bei der Installation die Server Core-Installationsoption verwendet wurde oder nicht. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Betroffene Geräte
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Weshalb wurde diese Empfehlung am 19. Januar 2012 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung eines Updates für Geräte mit Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5 anzukündigen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2641690.

Weshalb wurde diese Empfehlung am 16. November 2011 überarbeitet ?
Microsoft hat diese Empfehlung überarbeitet, um die erneute Veröffentlichung des Updates KB2641690 für Windows XP Professional x64 Edition Service Pack 2 und alle unterstützten Editionen von Windows Server 2003 anzukündigen. Mit dem erneut veröffentlichten Update wird ein Problem behoben, das von Benutzern festgestellt wurde, die Windows Server Update Services (WSUS) verwenden. Dort wurde die Anwendbarkeit des Updates nicht richtig erkannt.

Benutzer von Windows XP Professional x64 Edition Service Pack 2 und allen unterstützten Editionen von Windows Server 2003 sollten die erneut veröffentlichte Version des Updates KB2641690 installieren, um vor der Verwendung von betrügerischen Zertifikaten geschützt zu sein, wie in dieser Empfehlung beschrieben. Benutzer von Windows XP Service Pack 3 und unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 sind nicht von dieser erneuten Veröffentlichung betroffen.

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das erneut veröffentlichte Update KB2641690 automatisch heruntergeladen und installiert wird.

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass DigiCert Sdn. Bhd 22 Zertifikate mit schwachen 512-Bit-Schlüsseln veröffentlicht hat. Diese schwachen Schlüssel haben die Kompromittierung einiger Zertifikate ermöglicht. Microsoft hat das Vertrauen in diese untergeordnete CA in einem Update widerrufen, mit dem zwei vorläufige CA-Zertifikate in den Speicher für nicht vertrauenswürdige Zertifikate von Microsoft verschoben werden.

Was hat das Problem verursacht?
Microsoft wurde von Entrust, einer CA im Microsoft-Programm für Stammzertifikate, darüber benachrichtigt, dass eine der ihr untergeordneten CAs, DigiCert Sdn. Bhd, 22 Zertifikate mit schwachen 512-Bit-Schlüsseln ausgestellt hat. Außerdem hat diese untergeordnete CA Zertifikate ohne die entsprechenden Verwendungserweiterungen oder Widerrufsinformationen veröffentlicht. Dies ist ein Verstoß gegen die Anforderungen des Microsoft-Programms für Stammzertifikate.

Es gibt keine Hinweise, dass Zertifikate in betrügerischer Absicht ausgestellt wurden. Stattdessen konnten aufgrund kryptografisch schwacher Schlüssel einige der Zertifikate dupliziert und in betrügerischer Absicht verwendet werden. Entrust und GTE CyberTrust haben die vorläufigen CA-Zertifikate widerrufen, die an DigiCert Sdn Bhd. ausgegeben wurden. Microsoft stellt ein Update bereit, mit dem das Vertrauen in diese beiden vorläufigen Zertifikate widerrufen wird, um Benutzer zu schützen.

Wie könnte ein Angreifer ein Zertifikat duplizieren?
Eine digitale Signatur kann nur von der Person erstellt werden, die den privaten Schlüssel des Zertifikats besitzt. Ein Angreifer kann versuchen, den privaten Schlüssel zu erraten, und anhand mathematischer Verfahren bestimmen, ob eine Schätzung richtig ist. Die Schwierigkeit, den privaten Schlüssel erfolgreich zu erraten, ist proportional zu der Anzahl von Bits in dem Schlüssel. Je länger also der Schlüssel, desto länger braucht ein Angreifer, um den privaten Schlüssel zu erraten. Mit moderner Hardware können 512-Bit-Schlüssel in kurzer Zeit erfolgreich erraten werden.

Wie könnte ein Angreifer betrügerische Zertifikate verwenden ?
Ein Angreifer kann die 512-Bit-Zertifikate verwenden, um Inhalte nachzuahmen, Phishingangriffe durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowser-Benutzer einschließlich Benutzern von Internet Explorer durchzuführen.

Was unternimmt Microsoft, um zur Behebung dieses Problems beizutragen?
Obwohl dieses Problem nicht aus einem Problem mit einem Microsoft-Produkt resultiert, haben wir dennoch ein Update veröffentlicht. Damit werden zwei vorläufige Zertifikate, die von Entrust und GTE CyberTrust ausgestellt wurden, in den Speicher für nicht vertrauenswürdige Zertifikate von Microsoft verschoben. Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

Wie ist die Vorgehensweise zum Widerrufen eines Zertifikats?
Es gibt ein Standardverfahren, das einer Zertifizierungsstelle ermöglichen soll, zu verhindern, dass diese Zertifikate akzeptiert werden, wenn sie verwendet werden. Jeder Zertifikatsherausgeber generiert regelmäßig eine Zertifikatsperrliste (Certificate Revocation List, CRL), in der alle Zertifikate aufgeführt sind, die als ungültig betrachtet werden sollen. Jedes Zertifikat muss bestimmte Daten enthalten, den CRL-Verteilungspunkt (CDP). Damit wird der Ort angezeigt, an dem die CRL abgerufen werden kann.

Eine alternative Möglichkeit für Webbrowser, die Identität eines digitalen Zertifikats zu überprüfen, ist die Verwendung des Online Certificate Status Protocol (OCSP). OCSP ermöglicht die interaktive Überprüfung eines Zertifikats, indem eine Verbindung zu einem OCSP-Responder hergestellt wird, der von der Zertifizierungsstelle (CA) gehostet wird, die das digitale Zertifikat signiert hat. Jedes Zertifikat sollte über die Erweiterung AIA (Authority Information Access; Zugriff auf Stelleninformationen) im Zertifikat einen Zeiger auf den Speicherort des OCSP-Responders bereitstellen. Außerdem ermöglicht die OCSP-Heftung dem Webserver, dem Client selbst eine Antwort auf die OCSP-Überprüfung bereitzustellen.

Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer unter unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert. Wenn die OCSP-Validierungsüberprüfung unter diesen Betriebssystemen fehlschlägt, überprüft der Browser das Zertifikat, indem er den CRL-Speicherort kontaktiert.

Einige Netzwerkbereitstellungen können u. U. die Onlineaktualisierung von OCSP oder CRL verhindern. Deshalb hat Microsoft ein Update für alle Versionen von Microsoft Windows veröffentlicht, mit dem diese Zertifikate dem Speicher für nicht vertrauenswürdige Zertifikate von Microsoft hinzugefügt werden. Durch das Verschieben dieser Zertifikate in den Speicher für nicht vertrauenswürdige Zertifikate von Microsoft wird sichergestellt, dass diesen betrügerischen Zertifikaten in keinem Netzwerkbereitstellungsszenario vertraut wird.

Weitere Informationen zur Überprüfung der Zertifikatsperrung finden Sie in dem TechNet-Artikel Zertifikatsperrung und Statusüberprüfung.

Woher weiß ich, ob ein Fehler aufgrund eines ungültigen Zertifikats aufgetreten ist?
Wenn Internet Explorer auf ein ungültiges Zertifikat trifft, wird Benutzern eine Webseite angezeigt, auf der zu lesen ist: „Es gibt ein Problem mit dem Sicherheitszertifikat dieser Website“. Benutzer sind angehalten, die Webseite zu schließen und von der Site weg zu navigieren, wenn diese Warnmeldung angezeigt wird.

Benutzern wird diese Nachricht nur angezeigt, wenn festgestellt wird, dass das Zertifikat ungültig ist, z. B., wenn der Benutzer die Überprüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) oder des Online Certificate Status Protocol (OCSP) aktiviert hat. Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer unter unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert.

Wie kann ich nach der Installation des Updates die Zertifikate im Speicher für nicht vertrauenswürdige Zertifikate von Microsoft überprüfen?
Weitere Informationen zum Anzeigen von Zertifikaten finden Sie in dem MSDN-Artikel Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.

Überprüfen Sie im MMC-Snap-In „Zertifikate“, ob die folgenden Zertifikate dem Ordner Nicht vertrauenswürdige Zertifikate hinzugefügt wurden:

ZertifikatVeröffentlicht vonFingerabdruck
Digisign Server ID – (Enrich)Zertifizierungsstelle Entrust.net (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global Root‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Für alle unterstützten Versionen von Microsoft Windows

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das Update KB2641690 automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die das Update KB2641690 manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Weitere Informationen zum manuellen Installieren des Updates finden Sie im Microsoft Knowledge Base-Artikel 2641690.

Für Geräte mit Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5

Weitere Informationen zum Update für Geräte mit Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5 finden Sie im Microsoft Knowledge Base-Artikel 2641690.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.

    Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. November 2011): Die Empfehlung wurde veröffentlicht.
  • V2.0 (16. November 2011): Die Empfehlung wurde überarbeitet, um die erneute Veröffentlichung des Updates KB2641690 anzukündigen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update. Außerdem wurde dem Abschnitt „Bekannte Probleme“ in der Kurzzusammenfassung eine Verknüpfung zum Microsoft Knowledge Base-Artikel 2641690 hinzugefügt.
  • V3.0 (19. Januar 2012): Die Empfehlung wurde überarbeitet, um die Veröffentlichung eines Updates für Geräte mit Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5 anzukündigen.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft