Microsoft Security Advisory 2982792
Falsch ausgestellte digitale Zertifikate könnten Spoofing zulassen
Veröffentlicht: 10. Juli 2014 | Aktualisiert: 17. Juli 2014
Version: 2.0
Allgemeine Informationen
Kurzfassung
Microsoft ist sich der nicht ordnungsgemäß ausgestellten SSL-Zertifikate bewusst, die bei Versuchen verwendet werden können, Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe durchzuführen. Die SSL-Zertifikate wurden nicht ordnungsgemäß vom Nationalen Informatikzentrum (NIC) ausgestellt, das untergeordnete Zertifizierungsstellen unter den Stammzertifizierungsstellen betreibt, die von der Regierung indiens Controller of Certification Authorities (CCA) betrieben werden, die im Store für vertrauenswürdige Stammzertifizierungsstellen vorhanden sind. Dieses Problem betrifft alle unterstützten Versionen von Microsoft Windows. Microsoft ist derzeit nicht über Angriffe im Zusammenhang mit diesem Problem informiert.
Die untergeordnete Zertifizierungsstelle wurde missbraucht, um SSL-Zertifikate für mehrere Websites auszustellen, einschließlich Google-Webeigenschaften. Diese SSL-Zertifikate können verwendet werden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auf Webeigenschaften durchzuführen. Die untergeordneten Zertifizierungsstellen wurden möglicherweise auch verwendet, um Zertifikate für andere, derzeit unbekannte Websites auszustellen, die ähnlichen Angriffen ausgesetzt sein könnten.
Um Kunden vor potenziell betrügerischer Verwendung dieses digitalen Zertifikats zu schützen, aktualisiert Microsoft die Zertifikatvertrauensliste (Certificate Trust List, CTL) für alle unterstützten Versionen von Microsoft Windows, um die Vertrauensstellung von Zertifikaten zu entfernen, die dieses Problem verursachen. Weitere Informationen zu diesen Zertifikaten finden Sie im Abschnitt "Häufig gestellte Fragen " dieser Empfehlung.
Empfehlung Ein automatischer Update von widerrufenen Zertifikaten ist in unterstützten Editionen von Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2 und für Geräte mit Windows Telefon 8 oder Windows Telefon 8.1 enthalten. Für diese Betriebssysteme oder Geräte müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.
Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, die das automatische Updater von widerrufenen Zertifikaten verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ), müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.
Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ist das automatische Update von gesperrten Zertifikaten nicht verfügbar. Um dieses Update zu erhalten, müssen Kunden den automatischen Updater von widerrufenen Zertifikaten installieren (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ). Kunden in getrennten Umgebungen und mit Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 können Update-2813430 installieren, um dieses Update zu erhalten (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430 ).
Für Kunden mit Windows Server 2003 empfiehlt Microsoft, dass das 2982792 Update sofort mithilfe der Updateverwaltungssoftware angewendet wird, indem nach Updates mithilfe des Microsoft Update-Diensts gesucht wird oder das Update manuell heruntergeladen und angewendet wird. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2982792 |
Betroffene Software
In dieser Empfehlung wird die folgende Software erläutert.
| Betroffene Software |
|---|
| Betriebssystem |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Windows 8 für 32-Bit-Systeme |
| Windows 8 für x64-basierte Systeme |
| Windows 8.1 für 32-Bit-Systeme |
| Windows 8.1 für x64-basierte Systeme |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Server Core-Installationsoption |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation) |
| Windows Server 2012 (Server Core-Installation) |
| Windows Server 2012 R2 (Server Core-Installation) |
| Betroffene Geräte |
| Windows Phone 8 |
| Windows Phone 8.1 |
Häufig gestellte Fragen zu Beratungen
Warum wurde diese Empfehlung am 17. Juli 2014 aktualisiert?
Die Empfehlung wurde am 17. Juli 2014 aktualisiert, um die Verfügbarkeit von Update-2982792 für unterstützte Editionen von Windows Server 2003 bekanntzugeben. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Was ist der Umfang der Beratung?
Zweck dieser Empfehlung ist es, Kunden darüber zu informieren, dass das National Informatics Centre (NIC) nicht ordnungsgemäß ausgestellte SSL-Zertifikate für mehrere Websites einschließlich Google-Webeigenschaften. Diese SSL-Zertifikate können verwendet werden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auf Webeigenschaften durchzuführen. Die untergeordnete Zertifizierungsstelle wurde möglicherweise auch verwendet, um Zertifikate für andere, derzeit unbekannte Websites auszustellen, die ähnlichen Angriffen unterliegen könnten.
Was hat das Problem verursacht?
Ein untergeordnetes Zertifizierungsstellenzertifikat wurde vom National Informatics Centre (NIC) nicht ordnungsgemäß ausgestellt, das der Regierung indiens CA untergeordnet ist, eine Zertifizierungsstelle, die im Store der vertrauenswürdigen Stammzertifizierungsstellen vorhanden ist.
Adresst dieses Update andere digitale Zertifikate?
Ja, zusätzlich zur Adressierung der in dieser Empfehlung beschriebenen Zertifikate ist dieses Update kumulativ und enthält digitale Zertifikate, die in früheren Empfehlungen beschrieben werden:
- Microsoft Security Advisory 2524375
- Microsoft Security Advisory 2607712
- Microsoft Security Advisory 2641690
- Microsoft Security Advisory 2718704
- Microsoft Security Advisory 2728973
- Microsoft Security Advisory 2798897
- Microsoft Security Advisory 2961552
Was ist Kryptografie?
Kryptografie ist die Wissenschaft der Sicherung von Informationen, indem sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einer konvertiert wird, in dem die Daten verdeckt werden (sogenannter Chiffretext).
In allen Formen der Kryptografie wird ein Als Schlüssel bezeichneter Wert in Verbindung mit einem Verfahren verwendet, das als Kryptoalgorithmus bezeichnet wird, um Nur-Text-Daten in Chiffretext umzuwandeln. In der bekanntesten Art von Kryptografie, Geheimschlüssel-Kryptografie, wird der Chiffretext mithilfe desselben Schlüssels wieder in Nur-Text umgewandelt. In einer zweiten Art von Kryptografie wird jedoch ein anderer Schlüssel verwendet, um den Chiffretext wieder in Nur-Text umzuwandeln.
Was ist ein digitales Zertifikat?
Bei der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt (wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.).
Wofür werden Zertifikate verwendet?
Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie nicht über Zertifikate nachdenken. Möglicherweise wird ihnen jedoch eine Meldung angezeigt, die besagt, dass ein Zertifikat abgelaufen oder ungültig ist. In diesen Fällen sollten Sie den Anweisungen in der Nachricht folgen.
Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.
Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?
Eine Vertrauensstellung muss zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht vorhanden sein. Eine Methode zur Einrichtung dieses Vertrauens ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen sind, die sie sein wollen. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, die von beiden anderen Parteien als vertrauenswürdig eingestuft wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Wurzeln überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Themen bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel " Zertifikatvertrauensüberprüfung.For more information, please see the MSDN article, Certificate Trust Verification.
Was kann ein Angreifer mit diesen Zertifikaten tun?
Ein Angreifer könnte diese Zertifikate verwenden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe gegen die folgenden Webeigenschaften auszuführen:
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was tut Microsoft, um bei der Lösung dieses Problems zu helfen?
Dieses Problem führt zwar nicht zu einem Problem in einem Microsoft-Produkt, wir aktualisieren jedoch die CTL und stellen ein Update bereit, um Kunden zu schützen. Microsoft wird dieses Problem weiterhin untersuchen und kann zukünftige Änderungen an der CTL vornehmen oder ein zukünftiges Update veröffentlichen, um Kunden zu schützen.
Wie kann ich nach dem Anwenden des Updates die Zertifikate im Microsoft-Speicher für nicht vertrauenswürdige Zertifikate überprüfen?
Für Windows Vista, Windows 7, Windows Server 2008- und Windows Server 2008 R2-Systeme, die die automatische Aktualisierung widerrufener Zertifikate verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070) und für Windows 8, Windows 8.1, Windows RT, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2-Systeme, können Sie das Anwendungsprotokoll im Ereignisanzeige auf einen Eintrag mit den folgenden Werten überprüfen:
- Quelle: CAPI2
- Ebene: Information
- Ereignis-ID: 4112
- Beschreibung: Erfolgreiche automatische Aktualisierung der nicht zulässigen Zertifikatliste mit Gültigkeitsdatum: Donnerstag, 3. Juli 2014 (oder höher).
Überprüfen Sie bei Systemen, die nicht den automatischen Updater für widerrufene Zertifikate verwenden, im MMC-Snap-In "Zertifikate", ob das folgende Zertifikat dem Ordner "Nicht vertrauenswürdige Zertifikate " hinzugefügt wurde:
| Certificate | Ausgestellt von | Fingerabdruck |
|---|---|---|
| NIC-Zertifizierungsstelle | CCA Indien 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| NIC CA 2011 | CCA Indien 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| NIC CA 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
Hinweis: Informationen zum Anzeigen von Zertifikaten mit dem MMC-Snap-In finden Sie im MSDN-Artikel " How to: View Certificates with the MMC Snap-in".
Vorgeschlagene Aktionen
Anwenden des Updates für unterstützte Versionen von Microsoft Windows
Ein automatischer Update von widerrufenen Zertifikaten ist in unterstützten Editionen von Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 und Windows Server 2012 R2 und für Geräte mit Windows Telefon 8 oder Windows Telefon 8.1 enthalten. Für diese Betriebssysteme oder Geräte müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.
Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, die das automatische Updater von widerrufenen Zertifikaten verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ), müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.
Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 ist das automatische Update von gesperrten Zertifikaten nicht verfügbar. Um dieses Update zu erhalten, müssen Kunden den automatischen Updater von widerrufenen Zertifikaten installieren (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ). Kunden in getrennten Umgebungen und mit Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 können Update-2813430 installieren, um dieses Update zu erhalten (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430 ).
Für Kunden mit Windows Server 2003 empfiehlt Microsoft, dass das 2982792 Update sofort mithilfe der Updateverwaltungssoftware angewendet wird, indem nach Updates mithilfe des Microsoft Update-Diensts gesucht wird oder das Update manuell heruntergeladen und angewendet wird. Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 2982792 .
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Danksagungen
Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:
- Adam Langley und das Google Chrome Security Team , um den Vorfall auf unsere Aufmerksamkeit aufmerksam zu machen und mit uns an der Antwort zu arbeiten
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. Juli 2014): Empfehlung veröffentlicht.
- V2.0 (17. Juli 2014): Empfehlung überarbeitet, um die Verfügbarkeit von Update-2982792 für unterstützte Editionen von Windows Server 2003 bekanntzugeben. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Seite generiert 2014-07-31 13:34Z-07:00.