Microsoft biztonsági tanácsadó 2641690

A megtévesztő digitális tanúsítványok tartalomhamisítást tesznek lehetővé

Közzétéve: 2011. november 10. | Frissítve: 2012. január 19.

Verzió: 3.0

Általános tudnivalók

Összefoglalás

A Microsoft cégnek tudomására jutott, hogy az Entrust és a GTE CyberTrust alatt működő malajziai hitelesítésszolgáltató, a DigiCert Sdn. Bhd, 22 darab gyenge 512 bites kulccsal ellátott tanúsítványt adott ki. A gyenge, és ezért könnyen feltörhető kulcsok lehetővé teszik a támadónak, hogy a tanúsítványokat rosszindulatúan kihasználva tartalmat hamisíthasson, az összes webböngésző felhasználója, így az Internet Explorer felhasználói ellen is adathalász támadásokat indíthasson, „man-in-the-middle” akciókat hajtson végre. Noha a biztonsági rés nem Microsoft-termékkel kapcsolatos, a probléma érinti a Microsoft Windows összes támogatott verzióját.

A DigiCert Sdn. Bhd nem a DigiCert, Inc.leányvállalata. Utóbbi a Microsoft Root Certificate Program tagja.

Semmilyen utalás nincs arra vonatkozóan, hogy ártó szándékkal adtak volna ki tanúsítványokat. A gyenge kulcsok miatt lehetővé vált egyes tanúsítványok megkettőzése, amely tanúsítványokat később ártó szándékkal használtak fel.

Microsoft a Microsoft Windows valamennyi támogatott verziójához frissítést adott ki. A frissítés visszavonja a DigiCert Sdn. Bhd által kiadott tanúsítványok megbízhatóságát. A frissítés a következő kettő közbenső tanúsítvány megbízhatóságát vonja vissza:

  • Digisign Server ID – (Enrich), az Entrust.net (2048) hitelesítésszolgáltató által kiadva
  • Digisign Server ID (Enrich), a GTE CyberTrust Global Root által kiadva

Javaslat: A Microsoft azt javasolja, hogy a felhasználók a frissítéskezelő szoftver igénybevételével alkalmazzák-e a biztonsági frissítést, vagy a Microsoft Update szolgáltatással ellenőrizzék, elérhető-e frissítés. Bővebb tájékoztatásért tekintse meg a tanácsadó Javasolt műveletek című részét.

Ismert problémák. A Microsoft Tudásbázis 2641690. számú cikkében olvasható, hogy a felhasználók a frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
Microsoft Tudásbázis cikke 2641690

Érintett szoftverek és eszközök

A tanácsadó közlemény a következő szoftverekkel és eszközökkel foglalkozik.

Érintett szoftverek
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 Itanium-alapú rendszerekhez
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez, Service Pack 2*
Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2*
Windows Server 2008 Itanium-alapú rendszerekhez, Service Pack 2
Windows 7 32 bites rendszerekhez és Windows 7 32 bites rendszerekhez Service Pack 1
Windows 7 x64 alapú rendszerekhez és Windows 7 x64 alapú rendszerekhez Service Pack 1
Windows Server 2008 R2 x64 alapú rendszerekhez és Windows Server 2008 R2 x64 alapú rendszerekhez, Service Pack 1*
Windows Server 2008 R2 Itanium alapú rendszerekhez és Windows Server 2008 R2 Itanium alapú rendszerekhez Service Pack 1

*Érinti a kiszolgálómag telepítését. Jelen tanácsadó a Windows Server 2008 vagy a Windows Server 2008 R2 támogatott kiadásaira vonatkozik, függetlenül attól, hogy a kiszolgálómag-telepítési opcióval telepítették-e. Erről a telepítési opcióról bővebben a Kiszolgálómag-telepítés kezelése és Kiszolgálómag-telepítés szervizelése TechNet cikkekben olvashat. A kiszolgálómag-telepítési opció nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 bizonyos kiadásaira; lásd: A kiszolgálómag-telepítési opciók összehasonlítása.

Érintett eszközök
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7,5

Miért módosították ezt a tanácsadót 2012. január 19-én ?
A Microsoft a tanácsadó módosításával a Windows Mobile 6.x, Windows Phone 7 és Windows Phone 7.5 készülékek frissítésének kiadását jelentette be. További információt a Microsoft Tudásbázis 2641690. számú cikkében talál.

Miért módosították ezt a tanácsadót 2011.november 16-án ?
A Microsoft a közlemény módosításával a Windows XP Professional x64 Edition Service Pack 2-höz és a Windows Server 2003 összes támogatott kiadásához tartozó KB2641690 újbóli kiadását jelenti be. Az újra kiadott frissítés a Windows Server Update Services (WSUS) felhasználói által jelentett hibát javít ki, ahol a frissítés alkalmazhatóságát nem megfelelően észlelte a rendszer.

A Windows XP Professional x64 Edition Service Pack 2 és a Windows Server 2003 összes támogatott kiadásának felhasználóinak alkalmazniuk kell a KB2641690 frissítés újra kiadott változatát, hogy védettek legyenek a közleményben leírt hamis tanúsítványok használata ellen. Az ismételt kiadás a Windows XP Service Pack 3, valamint a Windows Vista, Windows Server 2008, Windows 7 és a Windows Server 2008 R2 támogatott kiadásainak felhasználóit nem érinti.

A felhasználók nagy részénél be van kapcsolva az automatikus frissítés; ilyenkor nincs más teendő, mert a rendszer automatikusan letölti és telepíti az újonnan kiadott KB2641690 frissítést.

Mire terjed ki a tanácsadó hatása?
A tanácsadó arról értesíti a felhasználókat, hogy a DigiCert Sdn. Bhd 22 darab gyenge 512 bites kulccsal ellátott tanúsítványt adott ki. A gyenge kulcsok miatt egyes tanúsítványokat hamisítani lehetett. A Microsoft külön frissítésben visszavonta az érintett hitelesítésszolgáltató megbízhatóságát. A frissítés a két kiadott tanúsítványt a Microsoft által megbízhatatlannak ítélt tanúsítványok tárolójába helyezi át.

Mi okozta a hibát?
A Microsoft vállalatot az Entrust, egy, a Microsoft Root Certificate Programjában résztvevő hitelesítésszolgáltató értesítette, akinek az egyik alhitelesítés-szolgáltatója, a DigiCert Sdn. Bhd 22 darab gyenge 512 bites kulccsal ellátott tanúsítványt adott ki. Az alárendelt hitelesítésszolgáltató megfelelő használati kiterjesztés, illetve visszavonási adatok nélkül adott ki tanúsítványokat. Ez lépés a Microsoft Root Certificate Program feltételeinek megszegését jelentette.

Semmilyen utalás nincs arra vonatkozóan, hogy ártó szándékkal adtak volna ki tanúsítványokat. A gyenge kulcsok miatt lehetővé vált egyes tanúsítványok megkettőzése, amely tanúsítványokat később ártó szándékkal használtak fel. Az Entrust és a GTE CyberTrust visszavonta a DigiCert Sdn. Bhd számára kiadott közbenső tanúsítványokat. A Microsoft egy frissítést készített a felhasználóknak, amely a védelem fokozása érdekében visszavonja a két közbenső tanúsítvány megbízhatóságát.

Hogyan duplikálhatja a támadó a tanúsítványt?
A digitális aláírást csak az a személy hozhatja létre, akinél a tanúsítvány személyes kulcsa van. A támadó matematikai és egyéb módszerekkel találgathatja a személyes kulcs tartalmát. Minél több bites a kulcs, annál nehezebb találgatással felderíteni a személyes kulcs tartalmát. Minél nagyobb a kulcs, annál hosszabb ideig tart a kulcs megfejtése. Modern hardverrel az 512 bites kulcsok rövid időn belül megfejthetők.

Hogyan használhatja fel a támadó a rosszindulatúan létrehozott tanúsítványt?
A támadó az 512 bites tanúsítványokat tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz használhatja fel. A támadások minden böngészőfelhasználót, így az Internet Explorer felhasználóit is fenyegetik.

A Microsoft milyen lépéseket tesz a probléma megoldása érdekében?
Bár a problémát nem Microsoft termékek okozták, a Microsoft ettől függetlenül kiadott egy frissítést, amely az Entrust és a GTE CyberTrust által kiadott tanúsítványokat a nem biztonságos tanúsítványok Microsoft által fenntartott tárolójába helyezi át. A Microsoft a frissítés azonnali telepítését javasolja.

Mit jelent a man-in-the-middle támadás?
A man-in-the-middle támadás során a támadó keresztülvezeti a két felhasználó közt folyó kommunikációt saját számítógépén anélkül, hogy a két kommunikáló fél tudna erről. Mindkét kommunikáló fél tudtán kívül adatokat küld a támadónak és fogad tőle, miközben azt hiszi, hogy csak az eredeti címzettel kommunikál.

Mit jelent a hitelesítésszolgáltató (CA)?
A hitelesítés-szolgáltatók azok a szervezetek, akik kiadják a tanúsítványok. Megállapítják és ellenőrzik a személyek vagy hitelesítés-szolgáltatók tulajdonát képező nyilvános kulcsot hitelességét, illetve ellenőrzik a tanúsítványt kérő személy vagy szervezet azonosságát.

Hogyan lehet visszavonni egy tanúsítványt?
A hitelesítésszolgáltató egy szabványos eljárást követve megakadályozhatja, hogy a tanúsítványokat használatuk esetén el is fogadják. Minden tanúsítvány-kiállító időnként létrehoz egy CRL listát (visszavont tanúsítványok listája), amely az érvénytelen tanúsítványokat tartalmazza. Minden tanúsítványhoz meg kell adni egy CRL elérési helyet (CDP), ami jelzi, hogy honnan lehet bekérni a vonatkozó CRL-t.

Az internetböngészők online tanúsítványállapot-protokoll (OCSP) alapján is ellenőrizhetik egy digitális tanúsítvány azonosságát. Az OCSP tanúsítvány-hitelesítő módszerhez aktív részvétel szükséges: kapcsolódni kell egy, a digitális tanúsítványt aláírt hitelesítés-szolgáltató (CA) OCSP-válaszadójához. Minden tanúsítványnak rá kell mutatnia egy OCSP válaszadó helyhez, a Kiállítói információ lekérdezése (AIA) keretében. Emellett az OCSP funkciókapcsolás lehetővé teszi, hogy az internetkiszolgáló maga küldjön OCSP hitelesítési választ az ügyfél számára.

A OCSP hitelesítés alapértelmezés szerint aktív az Internet Explorer 7 és annál újabb Internet Explorer verziókon, a Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2 támogatott kiadásain. Ezeknél az operációs rendszereknél a böngésző a CRL helyről kéri le a tanúsítvány-hitelesítéshez szükséges információt, amennyiben az OSCP hitelesítés meghiúsul.

Egyes hálózati rendszereken az online OCSP-, illetve CRL-frissítések nem használhatók, ezért a Microsoft a Microsoft Windows valamennyi verziójához kiadott egy frissítést, amely az érintett tanúsítványokat a megbízhatatlannak ítélt tanúsítványok tárolójába helyezi át. Az érintett tanúsítványokat a Microsoft által megbízhatatlannak ítélt tárolóba áthelyezve a rosszindulatú tanúsítványokat nem minden hálózat fogadja el.

A visszavont tanúsítvány ellenőrzésének részleteiről lásd a Tanúsítvány-visszavonás és állapot-ellenőrzés című TechNet cikket.

Honnan tudhatom, hogy érvénytelen tanúsítványhibába ütköztem?
Amikor az Internet Explorer érvénytelen tanúsítvánnyal találkozik, a felhasználók előtt megjelenik „A webhely tanúsítványa hibás.” szövegű weboldal. Amikor megjelenik ez a figyelmeztetés, érdemes becsukni a weboldalt, és elnavigálni onnan.

Az üzenet akkor jelenik meg, ha a tanúsítványt érvénytelennek ítélték, pl. aktív visszavont tanúsítványok listája (CRL) vagy online tanúsítványállapot-protokoll (OCSP) ellenőrzés alapján. A OCSP hitelesítés alapértelmezés szerint aktív az Internet Explorer 7 és annál újabb Internet Explorer verziókon, a Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2 támogatott kiadásain.

A frissítés alkalmazását követően hogyan ellenőrizhetem a Nem megbízható tanúsítványok tárolójában lévő tanúsítványokat?
A tanúsítványok megjelenítésével kapcsolatos tudnivalókat a Tanúsítványok megtekintése az MMC beépülő modullal című MSDN cikkben találja.

A Tanúsítványok MMC beépülő modulja helyen ellenőrizze, hogy a következő tanúsítványok bekerültek-e Nem megbízható tanúsítványok mappába:

TanúsítványKiállítóUjjlenyomat
Digisign Server ID - (Enrich)Entrust.net Certification Authority (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global főtanúsítvány‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

A Microsoft Windows támogatott verziói esetén

A felhasználók nagy részénél be van kapcsolva az automatikus frissítés; ilyenkor nincs más teendő, mert a rendszer automatikusan letölti és telepíti a KB2641690 frissítést. Ha nem használ automatikus frissítést, keresse meg a vonatkozó frissítést és telepítse manuálisan. Az automatikus frissítés további beállításairól lásd a Microsoft Tudásbázis 294871. cikkét.

Ha a rendszergazda, vállalati telepítő vagy végfelhasználó manuálisan szeretné telepíteni a KB2641690 frissítést, a Microsoft az azonnali telepítést javasolja frissítéskezelő szoftver vagy a Microsoft Update szolgáltatás igénybevételével. A frissítés manuális telepítéséről további információkat a Microsoft Tudásbázis 2641690. számú cikkében találhat.

Windows Mobile 6.x, Windows Phone 7 és Windows Phone 7.5 készülékek esetén

A Windows Mobile 6.x, Windows Phone 7 és Windows Phone 7.5 készülékek frissítésével kapcsolatban további tájékoztatást a Microsoft Tudásbázis 2641690. számú cikkében talál.

További ajánlott teendők

  • A számítógép védelme

    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.

    A biztonságos internetezésről a Microsoft biztonsági központban található további információ.

  • Tartsa naprakészen Microsoft szoftvereit

    A számítógépek minél nagyobb biztonsága érdekében a Microsoft szoftverek felhasználóinak alkalmazniuk kell a Microsoft legújabb biztonsági frissítéseit. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Microsoft Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha bekapcsolta az automatikus frissítést és beállítottak, hogy kéri a Microsoft termékek frissítéseit, a frissítéseket azonnal megkapja, amikor azok kiadásra kerülnek. Mégis ellenőriznie kell, hogy a rendszer telepítette-e ezeket.

Egyéb információ

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2011. november 10.) Tanácsadó közzététele.
  • 2.0 verzió (2011. november 16.): A módosított közlemény a KB2641690 frissítés megjelenéséről tudósít. Bővebb tájékoztatásért tekintse meg a tanácsadó Gyakori kérdések a frissítéssel kapcsolatban című részét. Új hivatkozás a Microsoft Tudásbázis 2641690. cikkére az Összefoglalás rész Ismert problémák c. szakaszában.
  • V3.0 (2012. január 19.): A tanácsadó módosításával a Windows Mobile 6.x, Windows Phone 7 és Windows Phone 7.5 frissítésének kiadását jelentették be.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: