Microsofts sikkerhetsveiledning 2524375
Falske digitale sertifikater kan tillate etterligningsangrep
Publisert: 23. mars 2011 | Oppdatert: 10. mai 2011
Versjon: 4.0
Generell informasjon
Kortfattet sammendrag
Microsoft kjenner til ni falske digitale sertifikater som er utgitt av Comodo, en sertifiseringsinstans som finnes i lageret for klarerte rotsertifiseringsinstanser for alle støttede versjoner av Microsoft Windows, Windows Mobile 6.x, Windows Phone 7, Microsoft Kin og Zune-enheter. Comodo informerte Microsoft den 16. mars 2011 om at ni sertifikater er blitt signert på vegne av en tredjepart uten at identiteten er tilstrekkelig validert. Disse sertifikatene kan brukes til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep mot alle brukere av weblesere, inkludert brukere med Internet Explorer.
Disse sertifikatene berører de følgende webområdene:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 sertifikater)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo har trukket tilbake disse sertifikatene, og de er oppført i Comodos gjeldende liste over sertifikater som er trukket tilbake (CRL). I tillegg vil weblesere som har OCSP (Online Certificate Status Protocol) aktivert, interaktivt validere disse sertifikatene og hindre at de blir brukt.
En oppdatering som bidrar til å løse dette problemet, er tilgjengelig for alle støttede versjoner av Windows og for Windows Mobile 6.x-enheter. Fra og med 3. mai 2011 begynner også oppdateringen å bli levert til kunder med Windows Phone 7. Hvis du vil ha mer informasjon om dette problemet, kan du se Microsoft Knowledge Base-artikkel 2524375.
Med støttede versjoner av Microsoft Windows trenger kundene vanligvis ikke å gjøre noe for å installere denne oppdateringen fordi de fleste kunder har automatisk oppdatering aktivert, og denne oppdateringen lastes ned og installeres automatisk. Hvis du vil ha mer informasjon, inkludert informasjon om hvordan du installerer denne oppdateringen manuelt, og hvordan oppdateringen installeres på Windows Mobile 6.x- og Windows Phone 7-enheter, kan du se delen Forslag til tiltak i denne sikkerhetsveiledningen.
Detaljer om veiledningen
Referanser til sikkerhetsproblemet
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:
| Referanser | Identifisering |
|---|---|
| Microsoft Knowledge Base-artikkel | 2524375 |
Berørte programmer og enheter
Denne veiledningen gjelder følgende programmer og enheter.
| Berørt programvare |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium-based Systems |
| Windows Vista Service Pack 1 og Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 og Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer med Service Pack 2* |
| Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer med Service Pack 2* |
| Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems med Service Pack 2 |
| Windows 7 for 32-biters systemer og Windows 7 for 32-biters systemer Service Pack 1 |
| Windows 7 for x64-baserte systemer og Windows 7 for x64-baserte systemer Service Pack 1 |
| Windows Server 2008 R2 for x64-baserte systemer og Windows Server 2008 R2 for x64-baserte systemer med Service Pack 1* |
| Windows Server 2008 R2 for Itanium-baserte systemer og Windows Server 2008 R2 for Itanium-baserte systemer med Service Pack 1 |
| Berørte enheter |
| Windows Mobile 6.x |
| Windows Phone 7 |
| Microsoft Kin |
| Zune 4 GB, Zune 8 GB, Zune 16 GB, Zune 30 GB, Zune 80 GB og Zune 120 GB |
| Zune HD 16 GB, Zune HD 32 GB og Zune HD 64 GB |
*Server Core-installasjonen berørt. Denne oppdateringen gjelder (med samme alvorlighetsgrad) for støttede versjoner av Windows Server 2008 eller Windows Server 2008 R2 som angitt, enten de ble installert med installasjonsalternativet for Server Core eller ikke. Hvis du vil ha mer informasjon om dette installasjonsalternativet, kan du se TechNet-artiklene om administrasjon av en Server Core-installasjon og betjening av en Server Core-installasjon. Legg merke til at installasjonsalternativet for Server Core ikke gjelder for visse versjoner av Windows Server 2008 og Windows Server 2008 R2. Du finner mer informasjon i Compare Server Core Installation Options.
Vanlige spørsmål
Hvorfor ble denne veiledningen revidert 10. mai 2011?
Microsoft har revidert denne veiledningen med informasjon om utgivelse av en oppdatering for Windows Mobile 6.x-enheter. Oppdateringen kan lastes ned fra Microsoft Download Center. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 2524375.
Oppdateringene for Microsoft Kin og Zune-enheter er ikke tilgjengelige på dette tidspunktet. Microsoft vil utgi oppdateringer for disse enhetene når testingen er fullført for å sikre høykvalitet på utgivelsene.
Hvorfor ble denne veiledningen revidert 3. mai 2011?
Microsoft har revidert denne veiledningen med informasjon om utgivelse av en oppdatering for Windows Phone 7-enheter. Ved utgivelsestidspunktet er ikke oppdateringen tilgjengelig for alle kunder med Windows Phone 7, i stedet vil kundene motta et varsel på enheten når oppdateringen er klar for telefonen deres. Hvis kunder med Windows Phone 7 vil ha mer informasjon om eller installere denne oppdateringen, må de koble telefonen til en datamaskin og bruke Zune PC-klienten eller Windows Phone 7 Connector (for Mac) til å fullføre oppdateringsprosessen. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 2524375.
Oppdateringene for Windows Mobile 6.x, Microsoft Kin og Zune-enheter er ikke tilgjengelige på dette tidspunktet. Microsoft vil utgi oppdateringer for disse enhetene når testingen er fullført for å sikre høykvalitet på utgivelsene.
Hvorfor ble denne veiledningen revidert den 19. april 2011?
Microsoft reviderte denne veiledningen for å legge til Windows Mobile 6.x, Windows Phone 7, Microsoft Kin og Zune-enheter som berørte programmer og enheter. Microsoft er oppmerksom på at lokale lagre på disse enhetene for sertifikater som ikke er klarert, må oppdateres slik at de inkluderer de ni falske digitale sertifikatene.
Oppdateringene for Windows Mobile 6.x, Windows Phone 7, Microsoft Kin og Zune-enheter er ikke tilgjengelige på dette tidspunktet. Microsoft vil utgi oppdateringer for disse enhetene når testingen er fullført for å sikre høykvalitet på utgivelsene.
Hva er kryptografi?
Kryptografi dreier seg om å sikre informasjon ved å konvertere den mellom normal, lesbar tilstand (kalles ren tekst) og en tilstand der dataene er skjult (kalles chifferkodetekst).
I alle former for kryptografi brukes en verdi som kalles en nøkkel, sammen med en prosedyre som kalles en krypteringsalgoritme, til å konvertere data i ren tekst til chifferkodetekst. I den vanligste typen kryptografi, kryptografi med hemmelig nøkkel, konverteres chifferkodeteksten tilbake til ren tekst ved hjelp av samme nøkkel. I en annen type kryptografi, kryptografi med fellesnøkkel, brukes det en annen nøkkel til å konvertere chifferkodeteksten tilbake til ren tekst.
Hva er et digitalt sertifikat?
I kryptografi med fellesnøkkel må en av nøklene, kalt den private nøkkelen, holdes hemmelig. Den andre nøkkelen, kalt fellesnøkkelen, deles med resten av verden Det må imidlertid finnes en metode som eieren av nøkkelen kan bruke for å fortelle verden hvem som eier nøkkelen. Digitale sertifikater er en slik metode. Et digital sertifikat er data som ikke kan manipuleres, som pakker en fellesnøkkel sammen med informasjon om nøkkelen – hvem som eier den, hva den kan brukes til, når den utløper, og så videre.
Hva brukes sertifikater til?
Sertifikater brukes først og fremst til å verifisere identiteten til en person eller enhet, autentisere en tjeneste eller kryptere filer. Vanligvis trenger du ikke å tenke på sertifikater. Det er imidlertid mulig at du ser en melding om at et sertifikat er utløpt eller ugyldig. I slike tilfeller bør du følge instruksjonene på siden.
Hva er en sertifiseringsinstans (CA)?
Sertifiseringsinstanser er organisasjoner som utgir sertifikater. De fastslår og verifiserer ektheten til fellesnøkler som tilhører personer eller andre organisasjoner, og de verifiserer identiteten til en person eller organisasjon som ber om et sertifikat.
Hva forårsaket dette problemet?
Comodo, som er en viktig sertifiseringsinstans, har informert Microsoft om at flere digitale sertifikater er utgitt uten at identiteten deres er tilstrekkelig validert. Disse sertifikatene kan brukes til å etterligne identiteten til tjenester, slik at brukere blir lurt til å stole på dem.
Obs! Comodo har trukket tilbake disse sertifikatene, og de er oppført i Comodos gjeldende liste over sertifikater som er trukket tilbake (CRL).
Hvordan kan en angriper utnytte dette sikkerhetsproblemet?
En angriper kan bruke disse sertifikatene til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep mot alle brukere av weblesere, inkludert brukere med Internet Explorer.
Hva er et mellommannsbasert angrep?
Et mellommannsbasert angrep forekommer når en angriper omdirigerer kommunikasjon mellom to brukere gjennom angriperens datamaskin uten at de to kommuniserende brukerne har kjennskap til dette. Begge brukerne i kommunikasjonen er uvitende om at kommunikasjonen går gjennom angriperen, og tror at de bare kommuniserer med hverandre.
Hva er prosedyren for å tilbakekalle et sertifikat?
Det finnes en standardprosedyre som gjør det mulig for Comodo å hindre at disse sertifikatene godtas hvis de brukes. Alle sertifiseringsinstanser genererer med visse mellomrom en CRL, som inneholder alle sertifikatene som bør regnes som ugyldige. Alle sertifikater skal inneholde data om CRL-distribusjonspunkt (CDP) som angir hvor CRL kan skaffes.
Weblesere kan alternativt validere identiteten til et digitalt sertifikat ved å bruke OCSP (Online Certificate Status Protocol). Med OCSP er det mulig å validere et sertifikat interaktivt ved å koble til en OCSP-svarmaskin med sertifiseringsinstansen (CA) som signerte det digitale sertifikatet, som vert. Alle sertifikater skal angi plasseringen til OCSP-svarmaskinen via AIA-utvidelsen (Authority Information Access) i sertifikatet. I tillegg kan OCSP-stifting la webserveren selv gi klienten et OCSP-valideringssvar.
OCSP-validering er aktivert som standard i Internet Explorer 7 og nyere versjoner av Internet Explorer på støttede versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2. Hvis OCSP-valideringskontrollen ikke lykkes på disse operativsystemene, vil webleseren validere sertifikatet ved å kontakte CRL-plasseringen.
Hvis du vil ha mer informasjon om kontroll av tilbakekalling av sertifikater, kan du se TechNet-artikkelen Certificate Revocation and Status Checking.
Hva er en liste over sertifikater som er trukket tilbake (CRL)?
CRL er en digitalt signert liste som er utgitt av en sertifiseringsinstans, som inneholder en liste over sertifikater som er utgitt og senere tilbakekalt av sertifiseringsinstansen. For hvert enkelt tilbakekalt sertifikat inneholder oppføringen serienummeret for sertifikatet, datoen da sertifikatet ble tilbakekalt, og grunnen til tilbakekallingen. Programmer kan utføre CRL-kontroll for å fastslå tilbakekallingsstatusen til et sertifikat.
Hva er CRL-distribusjonspunkt (CDP)?
CDP er et sertifikattillegg som angir hvor listen over tilbakekalte sertifikater for en sertifiseringsinstans finnes. Det kan inneholde ingen, en eller mange URL-adresser for HTTP, filer eller LDAP.
Hva er OCSP (Online Certificate Status Protocol)?
OCSP er en protokoll som gir mulighet for verifisering i sanntid av sertifikatstatus. En OCSP-svarmaskin svarer vanligvis med tilbakekallingsstatusen basert på CRL-listen fra sertifiseringsinstansen.
Hva gjør Microsoft for å bidra til å løse dette problemet?
Selv om dette problemet ikke skyldes noe problem med noe Microsoft-produkt, har vi likevel utviklet en oppdatering for å bidra til å beskytte kunder ved å sørge for at disse ni falske sertifikatene alltid behandles som om de ikke er klarert.
Hvorfor utgir Microsoft en oppdatering hvis det ikke er noe problem med Microsoft-programvare?
Selv når CRL og OCSP-validering er aktivert, er ikke valideringsteknikkene robuste nok til å garantere at brukerne er beskyttet mot skadelig bruk av disse sertifikatene. Når CRL-plasseringen og OCSP-svarmaskinen er tilgjengelige, er valideringskontrollene svært pålitelige og effektive.
Men hvis kontroll av tilbakekalte sertifikater mislykkes på grunn av nettverks- eller tilkoblingsproblemer, kan weblesere og andre klientprogrammer, inkludert Internet Explorer, ignorere disse feilene og regne sertifikatet som klarert fordi noe annet ikke er bevist. I disse scenarioene kan kunder bli berørt.
Hva gjør oppdateringen?
Oppdateringen for støttede verjkoner av Microsoft Windows løser problemet ved å plassere de ni falske sertifikatene i det lokale lageret for sertifikater som ikke er klarert, i Microsoft Windows. Oppdateringen for Windows Mobile 6.x- og Windows Phone 7-enheter løser problemet ved å plassere de ni falske sertifikatene i det lokale lageret for sertifikater som ikke er klarert, på telefonen. Oppdateringene for Microsoft Kin og Zune-enheter er ikke tilgjengelige på dette tidspunktet.
Hvordan oppdager jeg om det har oppstått en feil med et ugyldig sertifikat?
Når Internet Explorer oppdager et ugyldig sertifikat, vises det en webside med melding om at det er et problem med sikkerhetssertifikatet for webområdet. Når denne websiden vises, anbefales det at brukere lukker websiden og navigerer bort fra webområdet.
Denne meldingen vises bare når sertifikatet er identifisert som ugyldig, for eksempel når brukeren har aktivert en liste over sertifikater som er trukket tilbake (CRL) eller OCSP-validering. OCSP-validering er aktivert som standard i Internet Explorer 7 og nyere versjoner av Internet Explorer på støttede versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2.
Hvordan kan jeg kontrollere sertifikatene i mappen med sertifikater som ikke er klarert, når jeg har tatt i bruk oppdateringen?
Hvis du vil ha mer informasjon om hvordan du viser sertifikater, kan du se MSDN-artikkelen Fremgangsmåte: Vise sertifikater med MMC-snapin-modulen.
I MMC-snapin-modulen for sertifikater kontrollerer du at de følgende sertifikatene er lagt til i mappen med sertifikater som ikke er klarert:
| Sertifikat | Utgitt av | Serienummer |
|---|---|---|
| addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
| "Global Trustee" | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | UTN-USERFirst-Hardware | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
| login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | UTN-USERFirst-Hardware | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
| login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | UTN-USERFirst-Hardware | 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71 |
| mail.google.com | UTN-USERFirst-Hardware | 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e |
| www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
Forslag til tiltak
Installer oppdateringen
En oppdatering som løser dette problemet, er tilgjengelig.
For støttede versjoner av Microsoft Windows
De fleste kundene har aktivert funksjonen for automatiske oppdateringer og trenger ikke gjøre noe fordi denne oppdateringen lastes ned og installeres automatisk. Kunder som ikke har aktivert funksjonen for automatiske oppdateringer, må søke etter oppdateringer og installere denne oppdateringen manuelt. Hvis du vil ha informasjon om bestemte konfigurasjonsalternativer for automatisk oppdatering, kan du se Microsoft Knowledge Base-artikkel 294871.
For administratorer og bedriftsinstallasjoner eller sluttbrukere som vil installere denne oppdateringen manuelt, anbefaler Microsoft at kunder installerer oppdateringen umiddelbart ved hjelp av programvare for oppdateringsbehandling eller ved å søke etter oppdateringer ved hjelp av tjenesten Microsoft Update.
Oppdateringen er også tilgjengelig fra Microsoft Download Center. Se Microsoft Knowledge Base-artikkel 2524375 for nedlastingskoblinger.
For Windows Phone 7-enheter
Ved utgivelsestidspunktet er ikke oppdateringen tilgjengelig for alle kunder med Windows Phone 7, i stedet vil kundene motta et varsel på enheten når oppdateringen er klar for telefonen deres. Hvis kunder med Windows Phone 7 vil ha mer informasjon om eller installere denne oppdateringen, må de koble telefonen til en datamaskin og bruke Zune PC-klienten eller Windows Phone 7 Connector (for Mac) til å fullføre oppdateringsprosessen. Hvis du vil ha mer informasjon om oppdateringen, kan du se Microsoft Knowledge Base-artikkel 2524375.
Zune PC-klienten kan oppdateres ved å konfigurere automatisk oppdatering slik at funksjonen søker etter oppdateringer på Internett fra Microsoft Update ved hjelp av tjenesten Microsoft Update. Kunder som har automatisk oppdatering aktivert og konfigurert til å søke etter oppdateringer på Internett fra Microsoft Update, vil vanligvis ikke trenge å gjøre noe for å oppdatere Zune-programvaren fordi denne oppdateringen lastes ned og installeres automatisk.
For Windows Mobile 6.x-enheter
Oppdateringen kan lastes ned fra Microsoft Download Center. Hvis du vil ha mer informasjon om oppdateringen og koblinger for å laste ned, kan du se Microsoft Knowledge Base-artikkel 2524375.
Flere forslag til tiltak
Les gjennom Microsoft Knowledge Base-artikkelen som er tilknyttet denne veiledningen
Hvis du vil ha mer informasjon om dette problemet, kan du se Microsoft Knowledge Base-artikkel 2524375.
Beskytt din PC
Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.
Hvis du vil ha mer informasjon om sikkerhet på Internett, kan du se Microsofts sikkerhetssentral.
Hold Microsoft-programvaren oppdatert
Brukere med Microsoft-programvare bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Microsoft Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har automatiske oppdateringer aktivert og konfigurert for å oppdatere Microsoft-produkter, leveres oppdateringene til deg når de utgis, men du bør kontrollere at de installeres.
Annen informasjon
Microsoft Active Protections Program (MAPP)
For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).
Tilbakemelding
- Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.
Kundestøtte
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner
- V1.0 (23. mars 2011): Veiledning publisert.
- V2.0 (19. april 2011): Lagt til Windows Mobile 6.x, Windows Phone 7, Microsoft Kin og Zune-enheter som berørte programmer og enheter.
- V3.0 (3. mai 2010): Informasjon om utgivelse av en oppdatering for Windows Phone 7-enheter. Oppdateringen er på utgivelsestidspunktet ikke tilgjengelig for alle kunder, se Vanlige spørsmål for sikkerhetsveiledningen for mer informasjon.
- V4.0 (10. mai 2011): Informasjon om utgivelse av en oppdatering for Windows Mobile 6.x-enheter.
Built at 2014-04-18T01:50:00Z-07:00