Sicherheitsempfehlung
Microsoft Security Advisory 2641690
Betrügerische digitale Zertifikate könnten Spoofing zulassen
Veröffentlicht: 10. November 2011 | Aktualisiert: 19. Januar 2012
Version: 3.0
Allgemeine Informationen
Kurzfassung
Microsoft ist sich bewusst, dass DigiCert Sdn. Bhd, eine malaysische untergeordnete Zertifizierungsstelle (CA) unter Entrust und GTE CyberTrust, hat 22 Zertifikate mit schwachen 512-Bit-Schlüsseln ausgestellt. Diese schwachen Verschlüsselungsschlüssel könnten es einem Angreifer ermöglichen, die Zertifikate betrügerisch zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowserbenutzer, einschließlich Benutzer von Internet Explorer, durchzuführen. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, wirkt sich dieses Problem auf alle unterstützten Versionen von Microsoft Windows aus.
DigiCert Sdn. Bhd ist nicht mit dem Unternehmen DigiCert, Inc. verbunden, das Mitglied des Microsoft Root Certificate Program ist.
Es gibt keinen Hinweis darauf, dass alle Zertifikate betrügerisch ausgestellt wurden. Stattdessen haben kryptografisch schwache Schlüssel einige der Zertifikate dupliziert und auf betrügerische Weise verwendet.
Microsoft stellt ein Update für alle unterstützten Versionen von Microsoft Windows bereit, die das Vertrauen in DigiCert Sdn widerrufen. Bhd. Das Update widerruft die Vertrauensstellung der folgenden beiden Zertifizierungsstellenzertifikate:
- Digisign Server ID - (Enrich), ausgestellt von Entrust.net Zertifizierungsstelle (2048)
- Digisign Server ID (Enrich), ausgestellt von GTE CyberTrust Global Root
Empfehlung Microsoft empfiehlt Kunden, das Update sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Bekannte Probleme.Microsoft Knowledge Base-Artikel 2641690 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Updates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2641690 |
Betroffene Software und Geräte
In dieser Empfehlung werden die folgenden Software und Geräte erläutert.
| Betroffene Software |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2* |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2* |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 |
| Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1* |
| Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
*Server Core-Installation betroffen. Diese Empfehlung gilt für unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2, wie angegeben, unabhängig davon, ob die Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
| Betroffene Geräte |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Häufig gestellte Fragen
Warum wurde diese Empfehlung am 19. Januar 2012 überarbeitet? Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung eines Updates für Windows Mobile 6.x, Windows Telefon 7 und Windows Telefon 7.5-Geräte bekanntzugeben. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2641690.
Warum wurde diese Empfehlung am 16. November 2011 überarbeitet? Microsoft hat diese Empfehlung überarbeitet, um die erneute Aktualisierung des KB2641690 Updates für Windows XP Professional x64 Edition Service Pack 2 und alle unterstützten Editionen von Windows Server 2003 bekanntzugeben. Das releasierte Update behebt ein Problem, das von Kunden mit Windows Server Update Services (WSUS) festgestellt wurde, bei dem die Anwendbarkeit für das Update nicht ordnungsgemäß erkannt wurde.
Kunden von Windows XP Professional x64 Edition Service Pack 2 und alle unterstützten Editionen von Windows Server 2003 sollten die erneuten Versionen des KB2641690-Updates anwenden, um gegen die Verwendung betrügerischer Zertifikate geschützt zu werden, wie in dieser Empfehlung beschrieben. Kunden von Windows XP Service Pack 3 und unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 sind von dieser Erneutversion nicht betroffen.
Die mehrzahl der Kunden hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das erneut bereitgestellte KB2641690 Update automatisch heruntergeladen und installiert wird.
Was ist der Umfang der Beratung? Zweck dieser Empfehlung ist es, Kunden darüber zu informieren, dass DigiCert Sdn. Bhd hat 22 Zertifikate mit schwachen 512 Bit-Schlüsseln ausgestellt. Diese schwachen Schlüssel haben einige der Zertifikate kompromittiert. Microsoft hat die Vertrauensstellung dieser untergeordneten Zertifizierungsstelle in einem Update widerrufen, das zwei Zwischenzertifizierungsstellenzertifikate in den Microsoft Untrusted Certificate Store verschiebt.
Was hat das Problem verursacht? Microsoft wurde von Entrust, einer Zertifizierungsstelle im Microsoft-Stammzertifikatprogramm, benachrichtigt, dass einer ihrer untergeordneten CAs, DigiCert Sdn. Bhd, ausgestellt 22 Zertifikate mit schwachen 512 Bit-Schlüsseln. Darüber hinaus hat diese untergeordnete Zertifizierungsstelle Zertifikate ohne die entsprechenden Nutzungserweiterungen oder Sperrinformationen ausgestellt. Dies ist ein Verstoß gegen die Anforderungen des Microsoft-Stammzertifikatprogramms.
Es gibt keinen Hinweis darauf, dass alle Zertifikate betrügerisch ausgestellt wurden. Stattdessen konnten kryptografisch schwache Schlüssel einige der Zertifikate dupliziert und auf betrügerische Weise verwendet werden. Entrust und GTE CyberTrust haben die Zertifikate der Zwischenzertifizierungsstelle widerrufen, die an DigiCert Sdn ausgestellt wurden. Bhd. Microsoft stellt ein Update bereit, das die Vertrauensstellung dieser beiden Zwischenzertifikate widerruft, um Kunden weiter zu schützen.
Wie kann ein Angreifer ein Zertifikat duplizieren? Eine digitale Signatur kann nur von der Person erstellt werden, die über den privaten Schlüssel des Zertifikats verfügt. Ein Angreifer kann versuchen, den privaten Schlüssel zu erraten und mathematische Techniken zu verwenden, um festzustellen, ob eine Vermutung korrekt ist. Die Schwierigkeit, den privaten Schlüssel erfolgreich zu erraten, ist proportional zur Anzahl der im Schlüssel verwendeten Bits. Je größer der Schlüssel ist, desto länger dauert es also, bis ein Angreifer den privaten Schlüssel erraten kann. Mithilfe moderner Hardware können 512-Bit-Tasten in kurzer Zeit erfolgreich erraten werden.
Wiekann ein Angreifer betrügerische Zertifikate verwenden? Ein Angreifer könnte die 512-Bit-Zertifikate zum Spoofen von Inhalten, zum Durchführen von Phishingangriffen oder zum Ausführen von Man-in-the-Middle-Angriffen gegen alle Webbrowserbenutzer einschließlich Benutzer von Internet Explorer verwenden.
Was tut Microsoft, um bei der Lösung dieses Problems zu helfen? Obwohl dieses Problem nicht auf ein Problem in einem Microsoft-Produkt resultiert, haben wir dennoch ein Update veröffentlicht, das zwei Zwischenzertifikate verschiebt, die von Entrust und GTE CyberTrust ausgestellt wurden, in den Microsoft Untrust-Zertifikatspeicher. Microsoft empfiehlt Kunden, das Update sofort anzuwenden.
Was ist ein Man-in-the-Middle-Angriff? Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was ist eine Zertifizierungsstelle (CA)? Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.
Was ist das Verfahren zum Widerrufen eines Zertifikats? Es gibt ein Standardverfahren, mit dem eine Zertifizierungsstelle verhindern kann, dass Zertifikate akzeptiert werden, wenn sie verwendet werden. Jeder Zertifikataussteller generiert in regelmäßigen Abständen eine Zertifikatsperrliste (Certificate Revocation List, CRL), die alle Zertifikate auflistet, die als ungültig angesehen werden sollten. Jedes Zertifikat sollte eine Datenmenge bereitstellen, die als CRL-Verteilungspunkt (CRL Distribution Point, CDP) bezeichnet wird, der den Speicherort angibt, an dem die CRL abgerufen werden kann.
Eine alternative Möglichkeit für Webbrowser, die Identität eines digitalen Zertifikats zu überprüfen, ist die Verwendung des Online Certificate Status Protocol (OCSP). OCSP ermöglicht die interaktive Überprüfung eines Zertifikats, indem eine Verbindung mit einem OCSP-Responder hergestellt wird, der von der Zertifizierungsstelle gehostet wird, die das digitale Zertifikat signiert hat. Jedes Zertifikat sollte einen Zeiger auf den OCSP-Antworterspeicherort über die AIA-Erweiterung (Authority Information Access) im Zertifikat bereitstellen. Darüber hinaus ermöglicht die OCSP-Heftung dem Webserver selbst, eine OCSP-Überprüfungsantwort für den Client bereitzustellen.
Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert. Wenn bei diesen Betriebssystemen die OCSP-Überprüfung fehlschlägt, überprüft der Browser das Zertifikat, indem er den CRL-Speicherort kontaktiert.
Einige Netzwerkbereitstellungen verhindern möglicherweise Online-OCSP- oder CRL-Updates, sodass Microsoft ein Update für alle Versionen von Microsoft Windows veröffentlicht hat, das diese Zertifikate dem Microsoft-Zertifikatspeicher "Nicht vertrauenswürdig" hinzufügt. Durch das Verschieben dieser Zertifikate in den Microsoft-Zertifikatspeicher mit nicht vertrauenswürdigen Zertifikaten wird sichergestellt, dass diese betrügerischen Zertifikate in allen Netzwerkbereitstellungsszenarien nicht vertrauenswürdig sind.
Weitere Informationen zur Zertifikatsperrüberprüfung finden Sie im TechNet-Artikel, Zertifikatsperrung und Statusüberprüfung.
Gewusst wie wissen, ob ein ungültiger Zertifikatfehler aufgetreten ist? Wenn Internet Explorer auf ein ungültiges Zertifikat stößt, wird Benutzern eine Webseite mit der Meldung "Es gibt ein Problem mit dem Sicherheitszertifikat dieser Website". Benutzer werden aufgefordert, die Webseite zu schließen und zu der Website zu navigieren, wenn diese Warnmeldung angezeigt wird.
Benutzern wird diese Meldung nur angezeigt, wenn das Zertifikat als ungültig festgelegt ist, z. B. wenn der Benutzer die Überprüfung des Zertifikatsperrlistens (Certificate Revocation List, CRL) oder die OCSP-Überprüfung (Online Certificate Status Protocol) aktiviert hat. Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert.
Wie kann ich nach dem Anwenden des Updates die Zertifikate im Microsoft-Speicher für nicht vertrauenswürdige Zertifikate überprüfen? Informationen zum Anzeigen von Zertifikaten finden Sie im MSDN-Artikel " How to: View Certificates with the MMC Snap-in".
Überprüfen Sie im MMC-Snap-In "Zertifikate", ob die folgenden Zertifikate dem Ordner "Nicht vertrauenswürdige Zertifikate " hinzugefügt wurden:
| Zertifikat | Issued by | Fingerabdruck |
|---|---|---|
| Digisign Server ID - (Enrich) | Entrust.net Certification Authority (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign Server ID (Enrich) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Vorgeschlagene Aktionen
Für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das KB2641690 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das KB2641690 Update manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update sofort mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 2641690.
Für Windows Mobile 6.x-, Windows Telefon 7- und Windows Telefon 7.5-Geräte
Informationen zum Update für Windows Mobile 6.x, Windows Telefon 7 und Windows Telefon 7.5-Geräte finden Sie im Microsoft Knowledge Base-Artikel 2641690.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie "Schützen Ihres Computers" besuchen.
Weitere Informationen zum Sicheren im Internet finden Sie unter Microsoft Security Central.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. November 2011): Empfehlung veröffentlicht.
- V2.0 (16. November 2011): Überarbeitet, um die erneute Aktualisierung des KB2641690-Updates ankündigen zu können. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates in dieser Empfehlung. Außerdem wurde ein Link zum Microsoft Knowledge Base-Artikel 2641690 unter "Bekannte Probleme" in der Zusammenfassung der Geschäftsleitung hinzugefügt.
- V3.0 (19. Januar 2012): Überarbeitet, um die Version eines Updates für Windows Mobile 6.x, Windows Telefon 7 und Windows Telefon 7.5-Geräte bekannt zu geben.
Gebaut am 2014-04-18T13:49:36Z-07:00