Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2982792

Fälschlicherweise veröffentlichte digitale Zertifikate können Spoofing ermöglichen

Veröffentlicht: 10. Juli 2014 | Aktualisiert: 17. Juli 2014

Version: 2.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist sich eines fälschlicherweise ausgegebenen, unterordneten SSL-Zertifikats bewusst, mit dem versucht werden kann, Inhalte nachzuahmen, Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen. Die SSL-Zertifikate wurden fälschlicherweise vom National Informatics Centre (NIC) ausgegeben, welches untergeordnete Zertifizierungsstellen unter Stammzertifizierungsstellen betreibt, die wiederum dem Controller von Zertifizierungsstellen (Controller of Certifying Authorities, CCA) der Regierung von Indien unterstehen. Diese Zertifizierungsstellen sind im Speicher vertrauenswürdiger Stammzertifizierungsstellen vorhanden. Dieses Problem betrifft alle unterstützten Versionen von Microsoft Windows. Microsoft sind derzeit keine Angriffe in Bezug auf dieses Problem bekannt.

Die untergeordnete Zertifizierungsstelle wurde missbraucht, um SSL-Zertifikate für mehrere Sites auszugeben, einschließlich der Interneteigenschaften von Google. Mit diesen SSL-Zertifikaten können Inhalte nachgeahmt, Phishingangriffe oder Man-in-the-Middle-Angriffe gegen Interneteigenschaften durchgeführt werden. Die untergeordneten Zertifizierungsstellen können auch dazu verwendet worden sein, Zertifikate für andere, derzeit unbekannte Sites auszugeben, die ähnlichen Angriffen unterliegen können.

Um Endbenutzer vor der potenziell betrügerischen Verwendung dieses digitalen Zertifikats zu schützen, aktualisiert Microsoft die Zertifikatvertrauensliste (CONTRL) für alle unterstützten Veröffentlichungen von Microsoft Windows, um das Vertrauen in die Zertifikate zu widerrufen, die dieses Problem verursachen. Weitere Informationen zu diesen Zertifikaten finden Sie in dieser Empfehlung im Abschnitt Häufig gestellte Fragen.

Empfehlung. Eine automatische Aktualisierung widerrufener Zertifikate ist in unterstützten Editionen von Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2 enthalten, und in Geräten, auf denen Windows Phone 8 oder Windows Phone 8.1 ausgeführt wird. Bei diesen Betriebssystemen und Geräten müssen Benutzer keine Maßnahmen ergreifen, da die Zertifikatvertrauensliste automatisch aktualisiert wird.

Bei Systemen, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird und auf denen die automatische Aktualisierung widerrufener Zertifikate verwendet wird (siehe Microsoft Knowledge Base-Artikel 2677070 für Details), müssen Benutzer keine Maßnahmen ergreifen, da die Zertifikatvertrauensliste automatisch aktualisiert wird.

Dieses Update ist nicht verfügbar für Systeme, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird und auf denen die automatische Aktualisierung widerrufener Zertifikate nicht installiert ist. Um dieses Update zu erhalten, müssen Benutzer die automatische Aktualisierung widerrufener Zertifikate installieren (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070). Kunden in verteilten Umgebungen und, die Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausführen, können das Update 2813430 installieren, um dieses Update zu erhalten (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430).

Benutzern von Windows Server 2003 empfiehlt Microsoft, das Update 2982792 sofort mithilfe von Updateverwaltungssoftware zu installieren. Prüfen Sie den Dienst Microsoft Update auf Updates oder laden Sie das Update manuell herunter und installieren Sie es. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen dieser Empfehlung.

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise

Identifizierung

Microsoft Knowledge Base-Artikel

2982792

Diese Empfehlung betrifft die folgende Software.

Betroffene Software

Betriebssystem

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 für 32-Bit-Systeme Service Pack 2

Windows Server 2008 für x64-basierte Systeme Service Pack 2

Windows Server 2008 für Itanium-basierte Systeme Service Pack 2

Windows 7 für 32-Bit-Systeme Service Pack 1

Windows 7 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1

Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

Windows 8 für 32-Bit-Systeme

Windows 8 für x64-basierte Systeme

Windows 8.1 für 32-Bit-Systeme

Windows 8.1 für x64-basierte Systeme

Windows RT

Windows RT 8.1

Windows Server 2012

Windows Server 2012 R2

Server Core-Installationsoption

Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)

Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)

Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation)

Windows Server 2012 (Server Core-Installation)

Windows Server 2012 R2 (Server Core-Installation)

Betroffene Geräte

Windows Phone 8

Windows Phone 8.1

Weshalb wurde diese Empfehlung am 17. Juli 2014 aktualisiert? 
Die Empfehlung wurde am 17. Juli 2014 überarbeitet, um die Verfügbarkeit des Updates 2982792 für unterstützte Editionen von Windows Server 2003 anzukündigen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen dieser Empfehlung.

Was genau umfasst diese Empfehlung? 
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass National Informatics Centre (NIC) fälschlicherweise SSL-Zertifikate für mehrere Sites ausgegeben hat, einschließlich der Interneteigenschaften von Google. Mit diesen SSL-Zertifikaten können Inhalte nachgeahmt, Phishingangriffe oder Man-in-the-Middle-Angriffe gegen Interneteigenschaften durchgeführt werden. Die untergeordnete Zertifizierungsstelle kann auch dazu verwendet worden sein, Zertifikate für andere, derzeit unbekannte Sites auszugeben, die ähnlichen Angriffen unterliegen können.

Was hat das Problem verursacht? 
Das National Informatics Centre (NIC), welches der Zertifizierungsstelle der Regierung von Indien untersteht, die wiederum im Speicher vertrauenswürdiger Stammzertifizierungsstellen vorhanden ist, hat fälschlicherweise ein untergeordnetes CA-Zertifikat ausgegeben.

Werden mit diesem Update weitere digitale Zertifikate behandelt? 
Ja, zusätzlich zum Beheben der drei in dieser Empfehlung beschriebenen Zertifikate ist dieses Update kumulativ und umfasst digitale Zertifikate, die in vorherigen Empfehlungen beschrieben sind:

Was ist Kryptografie? 
Kryptografie ist die Wissenschaft des Sicherns von Informationen, indem diese aus ihrem normalen, lesbaren Zustand (Klartext genannt) in einen Zustand konvertiert werden, in dem die Daten verschleiert sind (Chiffretext genannt).

In allen Formen der Kryptografie wird ein als Schlüssel bekannter Wert in Verbindung mit einem Verfahren namens Kryptoalgorithmus verwendet, um Klartextdaten in Chiffretext zu transformieren. In der vertrautesten Art der Kryptografie, der Kryptografie mit einem geheimen Schlüssel, wird der Chiffretext mit dem gleichen Schlüssel zurück in Klartext transformiert. In einer zweiten Art der Kryptografie jedoch, der Kryptografie mit öffentlichen Schlüsseln, wird ein anderer Schlüssel verwendet, um den Chiffretext zurück in Klartext zu transformieren.

Was versteht man unter einem „digitalen Zertifikat“?  
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein gegen Eingriffe gesichertes Datenpaket, das einen öffentlichen Schlüssel zusammen mit Informationen dazu enthält: wer der Besitzer ist, wofür es verwendet werden kann, wann es abläuft und so weiter.

Wofür werden Zertifikate verwendet? 
Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie gar nicht an Zertifikate denken. Unter Umständen wird Ihnen jedoch eine Nachricht angezeigt, die Ihnen mitteilt, dass ein Zertifikat ungültig oder abgelaufen ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle (CA)?  
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

Was ist eine Zertifikatvertrauensliste (CTL)?  
Zwischen dem Empfänger einer signierten Nachricht und dem Unterzeichner der Nachricht muss Vertrauen bestehen. Dieses Vertrauen kann durch ein Zertifikat hergestellt werden; das ist ein elektronisches Dokument, mit dem überprüft wird, ob die Organisationen oder Personen diejenigen sind, die sie vorgeben, zu sein. Ein Zertifikat wird einer Organisation durch einen Drittanbieter ausgestellt, dem beide Parteien vertrauen. Dadurch entscheidet jeder Empfänger einer signierten Nachricht, ob der Herausgeber des Zertifikats des Unterzeichners vertrauenswürdig ist. CryptoAPI hat eine Methode implementiert, die Anwendungsentwicklern ermöglicht, Anwendungen zu erstellen, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Stammzertifikaten überprüfen. Diese Liste vertrauenswürdiger Organisationen (Zertifikatbesitzer genannt) wird Zertifikatvertrauensliste (CTL: Certificate Trust List) genannt. Weitere Informationen finden Sie in dem MSDN-Artikel Überprüfung des Vertrauens in Zertifikate.

Was kann ein Angreifer mit diesen Zertifikaten anrichten? 
Ein Angreifer kann mit diesen Zertifikaten Inhalte nachahmen, Phishingangriffe oder Man-in-the-Middle-Angriffe gegen folgende Interneteigenschaften durchführen:

  • google.com
  • mail.google.com
  • gmail.com
  • www.gmail.com
  • m.gmail.com
  • smtp.gmail.com
  • pop.gmail.com
  • imap.gmail.com
  • googlemail.com
  • www.googlemail.com
  • smtp.googlemail.com
  • pop.googlemail.com
  • imap.googlemail.com
  • gstatic.com
  • ssl.gstatic.com
  • www.static.com
  • encrypted-tbn1.gstatic.com
  • encrypted-tbn2.gstatic.com
  • login.yahoo.com
  • mail.yahoo.com
  • mail.yahoo-inc.com
  • fb.member.yahoo.com
  • login.korea.yahoo.com
  • api.reg.yahoo.com
  • edit.yahoo.com
  • watchlist.yahoo.com
  • edit.india.yahoo.com
  • edit.korea.yahoo.com
  • edit.europe.yahoo.com
  • edit.singapore.yahoo.com
  • edit.tpe.yahoo.com
  • legalredirect.yahoo.com
  • me.yahoo.com
  • open.login.yahooapis.com
  • subscribe.yahoo.com
  • edit.secure.yahoo.com
  • edit.client.yahoo.com
  • bt.edit.client.yahoo.com
  • verizon.edit.client.yahoo.com
  • na.edit.client.yahoo.com
  • au.api.reg.yahoo.com
  • au.reg.yahoo.com
  • profile.yahoo.com
  • static.profile.yahoo.com
  • openid.yahoo.com

Was ist ein Man-in-the-Middle-Angriff?  
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was unternimmt Microsoft, um zur Behebung dieses Problems beizutragen?  
Obwohl dieses Problem nicht aus einem Problem in einem Microsoft-Produkt resultiert, haben wir dennoch die Zertifikatvertrauensliste aktualisiert und stellen ein Update bereit, um Benutzer zu schützen. Microsoft untersucht dieses Problem weiter und nimmt ggf. weitere Änderungen an der Zertifikatvertrauensliste vor oder veröffentlicht ein weiteres Update, um Benutzer zu schützen.

Wie kann ich nach der Installation des Updates die Zertifikate im Speicher für nicht vertrauenswürdige Zertifikate von Microsoft überprüfen? 
Auf Systemen mit Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2, die die automatische Aktualisierung widerrufener Zertifikate verwenden (siehe Microsoft Knowledge Base-Artikel 2677070 für Details) und auf Systemen mit Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2 können Sie das Anwendungsprotokoll in der Ereignisanzeige auf einen Eintrag mit den folgenden Werten prüfen:

  • Quelle: CAPI2
  • Ebene: Informationen
  • Ereigniskennung: 4112
  • Beschreibung: Erfolgreiche automatische Aktualisierung der unzulässigen Zertifikatliste mit Gültigkeitsdatum: Donnerstag, 3. Juli 2014 (oder später).

Überprüfen Sie auf Systemen, auf denen die automatische Aktualisierung widerrufener Zertifikate nicht verwendet wird, im MMC-Snap-In „Zertifikate“, ob das folgende Zertifikat dem Ordner Nicht vertrauenswürdigen Zertifikate hinzugefügt wurde:

Zertifikat

Veröffentlicht von

Fingerabdruck

NIC-Zertifizierungsinstitution

CCA India 2007

‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf

NIC CA 2011

CCA India 2011

‎c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2

NIC CA 2014

CCA India 2014

‎d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a


Hinweis Weitere Informationen zum Anzeigen von Zertifikaten mit dem MMC-Snap-In finden Sie in dem MSDN-Artikel Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.

Installieren des Updates für unterstützte Versionen von Microsoft Windows

Eine automatische Aktualisierung widerrufener Zertifikate ist in unterstützten Editionen von Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2 enthalten, und in Geräten, auf denen Windows Phone 8 oder Windows Phone 8.1 ausgeführt wird. Bei diesen Betriebssystemen und Geräten müssen Benutzer keine Maßnahmen ergreifen, da die Zertifikatvertrauensliste automatisch aktualisiert wird.

Bei Systemen, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird und auf denen die automatische Aktualisierung widerrufener Zertifikate verwendet wird (siehe Microsoft Knowledge Base-Artikel 2677070 für Details), müssen Benutzer keine Maßnahmen ergreifen, da die Zertifikatvertrauensliste automatisch aktualisiert wird.

Dieses Update ist nicht verfügbar für Systeme, auf denen Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird und auf denen die automatische Aktualisierung widerrufener Zertifikate nicht installiert ist. Um dieses Update zu erhalten, müssen Benutzer die automatische Aktualisierung widerrufener Zertifikate installieren (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070). Kunden in verteilten Umgebungen und, die Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausführen, können das Update 2813430 installieren, um dieses Update zu erhalten (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430).

Benutzern von Windows Server 2003 empfiehlt Microsoft, das Update 2982792 sofort mithilfe von Updateverwaltungssoftware zu installieren. Prüfen Sie den Dienst Microsoft Update auf Updates oder laden Sie das Update manuell herunter und installieren Sie es. Downloadadressen finden Sie im Microsoft Knowledge Base-Artikel 2982792.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Adam Langley und dem Google Chrome Security Team, dass sie uns auf den Vorfall aufmerksam gemacht und mit uns an der Reaktion darauf zusammengearbeitet haben.

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Juli 2014): Die Empfehlung wurde veröffentlicht.
  • V2.0 (17. Juli 2014): Die Empfehlung wurde überarbeitet, um die Verfügbarkeit des Updates 2982792 für unterstützte Editionen von Windows Server 2003 anzukündigen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen dieser Empfehlung.

Seite generiert am 31.07.2014 um 13:34Z-07:00.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft