Microsofts sikkerhetsveiledning 2641690
Falske digitale sertifikater kan tillate etterligningsangrep
Publisert: 10. november 2011 | Oppdatert: 19. januar 2012
Versjon: 3.0
Generell informasjon
Kortfattet sammendrag
Microsoft kjenner til at DigiCert Sdn. Bhd, en malaysisk sertifiseringsinstans (CA) underlagt Entrust og GTE CyberTrust, har utgitt 22 sertifikater med svake 512-biters nøkler. Hvis disse svake krypteringsnøklene knekkes, kan en angriper bruke sertifikatene til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep mot alle brukere av weblesere, inkludert brukere med Internet Explorer. Selv om sikkerhetsproblemet ikke er forårsaket av et Microsoft-produkt, berører dette alle støttede versjoner av Microsoft Windows.
DigiCert Sdn. Bhd har ingen tilknytning til DigiCert, Inc., som er medlem av Microsofts rotsertifikatprogram.
Det finnes ingen indikasjon på at falske sertifikater er utgitt. Imidlertid har kryptografisk svake nøkler gjort det mulig å duplisere noen av sertifikatene og bruke dem ulovlig.
Microsoft tilbyr en oppdatering for alle støttede utgaver av Microsoft Windows som opphever klareringen av DigiCert Sdn. Bhd. Oppdateringen opphever klareringen av de to følgende CA-sertifikatene:
- Digisign Server ID – (Enrich), utgitt av Entrust.net Certification Authority (2048)
- Digisign Server ID (Enrich), utgitt av GTE CyberTrust Global Root
Anbefaling. Microsoft anbefaler at kunder installerer oppdateringen umiddelbart ved hjelp av programvare for oppdateringsbehandling eller ved å søke etter oppdateringer ved hjelp av tjenesten Microsoft Update. Du finner mer informasjon i delen Forslag til tiltak i denne sikkerhetsveiledningen.
Kjente problemer. Microsoft Knowledge Base-artikkel 2641690 dokumenterer kjente problemer som kunder kan oppleve ved installasjon av denne oppdateringen. Denne artikkelen dokumenterer også anbefalte løsninger for disse problemene.
Detaljer om veiledningen
Referanser til sikkerhetsproblemet
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:
| Referanser | Identifisering |
|---|---|
| Microsoft Knowledge Base-artikkel | 2641690 |
Berørte programmer og enheter
Denne veiledningen gjelder følgende programmer og enheter.
| Berørt programvare |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium-baserte systemer |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-biters systemer Service Pack 2* |
| Windows Server 2008 for x64-baserte systemer Service Pack 2* |
| Windows Server 2008 for Itanium-baserte systemer Service Pack 2 |
| Windows 7 for 32-biters systemer og Windows 7 for 32-biters systemer Service Pack 1 |
| Windows 7 for x64-baserte systemer og Windows 7 for x64-baserte systemer Service Pack 1 |
| Windows Server 2008 R2 for x64-baserte systemer og Windows Server 2008 R2 for x64-baserte systemer Service Pack 1* |
| Windows Server 2008 R2 for Itanium-baserte systemer og Windows Server 2008 R2 for Itanium-baserte systemer Service Pack 1 |
*Server Core-installasjonen berørt. Dette sikkerhetsproblemet gjelder for støttede versjoner av Windows Server 2008 eller Windows Server 2008 R2 som angitt, enten de ble installert med installasjonsalternativet for Server Core eller ikke. Hvis du vil ha mer informasjon om dette installasjonsalternativet, kan du se TechNet-artiklene Managing a Server Core Installation og Servicing a Server Core Installation. Legg merke til at installasjonsalternativet for Server Core ikke gjelder for visse versjoner av Windows Server 2008 og Windows Server 2008 R2. Du finner mer informasjon i Compare Server Core Installation Options.
| Berørte enheter |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Vanlige spørsmål
Hvorfor ble denne veiledningen revidert 19. januar 2012 ?
Microsoft har revidert denne veiledningen for å informere om utgivelsen av en oppdatering for enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 2641690.
Hvorfor ble denne veiledningen revidert 16. november 2011 ?
Microsoft har revidert denne veiledningen for å informere om nyutgivelsen av oppdateringen KB2641690 for Windows XP Professional x64 Edition Service Pack 2 og alle støttede versjoner av Windows Server 2003. Den nyutgitte oppdateringen løser et problem oppdaget av kunder som bruker WSUS (Windows Server Update Services), der brukbarheten av oppdateringen ikke ble registrert på riktig måte.
Kunder med Windows XP Professional x64 Edition Service Pack 2 og alle støttede versjoner av Windows Server 2003 bør installere den nyutgitte versjonen av oppdateringen KB2641690 for å være beskyttet mot falske sertifikater slik det beskrives i denne veiledningen. Kunder med Windows XP Service Pack 3 og støttede versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2 er ikke berørt av denne nyutgivelsen.
De fleste kundene har aktivert funksjonen for automatiske oppdateringer og trenger ikke gjøre noe fordi den nyutgitte oppdateringen KB2641690 lastes ned og installeres automatisk.
Hva behandles i veiledningen?
Hensikten med denne veiledningen er å informere kundene om at DigiCert Sdn. Bhd har utgitt 22 sertifikater med svake 512-biters nøkler. Disse svake nøklene betyr at noen av sertifikatene ikke lenger er sikre. Microsoft har opphevet klareringen av denne underordnede sertifiseringsinstansen i en oppdatering som flytter to CA-sertifikater til Microsofts lager for ikke-klarerte sertifikater.
Hva forårsaket dette problemet?
Microsoft ble informert av Entrust, en sertifiseringsinstans i Microsofts rotsertifikatprogram, om at en av deres underordnede sertifiseringsinstanser, DigiCert Sdn. Bhd, har utgitt 22 sertifikater med svake 512-biters nøkler. I tillegg har denne underordnede sertifiseringsinstansen utgitt sertifikater uten riktige bruksutvidelser eller informasjon om tilbakekalling. Dette er et brudd på kravene i Microsofts rotsertifikatprogram.
Det finnes ingen indikasjon på at falske sertifikater er utgitt. Imidlertid har kryptografisk svake nøkler gjort det mulig å duplisere noen av sertifikatene og bruke dem ulovlig. Entrust og GTE CyberTrust har tilbakekalt CA-sertifikatene til DigiCert Sdn. Bhd. Microsoft tilbyr en oppdatering som opphever klareringen av disse to sertifikatene, for å gi kundene ytterligere beskyttelse.
Hvordan kan en angriper duplisere et sertifikat?
En digital signatur kan bare opprettes av personen som har sertifikatets private nøkkel. En angriper kan prøve å gjette nøkkelen og bruke matematiske teknikker til å fastslå om gjetningen er korrekt. Hvor vanskelig det er å gjette den private nøkkelen, står i forhold til antallet biter i nøkkelen. Dette betyr at jo større en nøkkel er, jo lenger tar det en angriper å gjette den private nøkkelen. Med moderne maskinvare kan det ta kort tid å gjette 512-biters nøkler.
Hvordan kan e n angriper bruke falske sertifikater ?
En angriper kan bruke de 512-biters sertifikatene til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep mot alle brukere av weblesere, inkludert brukere med Internet Explorer.
Hva gjør Microsoft for å bidra til å løse dette problemet?
Selv om dette problemet ikke skyldes noe problem i et Microsoft-produkt, har vi likevel utgitt en oppdatering som flytter to sertifikater fra Entrust og GTE CyberTrust til Microsofts lager for ikke-klarerte sertifikater. Microsoft anbefaler at kundene bruker oppdateringen umiddelbart.
Hva er et mellommannsbasert angrep?
Et mellommannsbasert angrep forekommer når en angriper omdirigerer kommunikasjon mellom to brukere gjennom angriperens datamaskin uten at de to kommuniserende brukerne har kjennskap til dette. Begge brukerne i kommunikasjonen er uvitende om at kommunikasjonen går gjennom angriperen, og tror at de bare kommuniserer med hverandre.
Hva er en sertifiseringsinstans (CA)?
Sertifiseringsinstanser er organisasjoner som utgir sertifikater. De fastslår og verifiserer ektheten til fellesnøkler som tilhører personer eller andre organisasjoner, og de verifiserer identiteten til en person eller organisasjon som ber om et sertifikat.
Hva er prosedyren for å tilbakekalle et sertifikat?
Det finnes en standardprosedyre som gjør det mulig for en sertifiseringsinstans å hindre at disse sertifikatene godtas hvis de brukes. Alle sertifiseringsinstanser genererer med visse mellomrom en liste over sertifikater som er trukket tilbake (CRL), som inneholder alle sertifikatene som bør regnes som ugyldige. Alle sertifikater skal inneholde data om CRL-distribusjonspunkt (CDP) som angir hvor CRL kan skaffes.
Weblesere kan alternativt validere identiteten til et digitalt sertifikat ved å bruke OCSP (Online Certificate Status Protocol). Med OCSP er det mulig å validere et sertifikat interaktivt ved å koble til en OCSP-svarmaskin med sertifiseringsinstansen (CA) som signerte det digitale sertifikatet, som vert. Alle sertifikater skal angi plasseringen til OCSP-svarmaskinen via AIA-utvidelsen (Authority Information Access) i sertifikatet. I tillegg kan OCSP-stifting la webserveren selv gi klienten et OCSP-valideringssvar.
OCSP-validering er aktivert som standard i Internet Explorer 7 og nyere versjoner av Internet Explorer på støttede versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2. Hvis OCSP-valideringskontrollen ikke lykkes på disse operativsystemene, vil webleseren validere sertifikatet ved å kontakte CRL-plasseringen.
Noen nettverksdistribusjoner kan hindre Internett-baserte OCSP- eller CRL-oppdateringer, derfor har Microsoft utgitt en oppdatering for alle versjoner av Microsoft Windows, som legger til disse sertifikatene i Microsofts lager for ikke-klarerte sertifikater. Når disse sertifikatene flyttes til Microsofts lager for ikke-klarerte sertifikater, sikres det at disse falske sertifikatene ikke klareres i noen nettverksdistribusjonsscenarioer.
Hvis du vil ha mer informasjon om kontroll av tilbakekalling av sertifikater, kan du se TechNet-artikkelen Certificate Revocation and Status Checking.
Hvordan oppdager jeg om det har oppstått en feil med et ugyldig sertifikat?
Når Internet Explorer oppdager et ugyldig sertifikat, vises det en webside med melding om at det er et problem med sikkerhetssertifikatet for webområdet. Når denne websiden vises, anbefales det at brukere lukker websiden og navigerer bort fra webområdet.
Denne meldingen vises bare når sertifikatet er identifisert som ugyldig, for eksempel når brukeren har aktivert en liste over sertifikater som er trukket tilbake (CRL) eller OCSP-validering. OCSP-validering er aktivert som standard i Internet Explorer 7 og nyere versjoner av Internet Explorer på støttede versjoner av Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2.
Hvordan kan jeg kontrollere sertifikatene i Microsofts lager for ikke-klarerte sertifikater når jeg har installert oppdateringen?
Hvis du vil ha mer informasjon om hvordan du viser sertifikater, kan du se MSDN-artikkelen Fremgangsmåte: Vise sertifikater med MMC-snapin-modulen.
I MMC-snapin-modulen for sertifikater kontrollerer du at de følgende sertifikatene er lagt til i mappen med sertifikater som ikke er klarert:
| Sertifikat | Utgitt av | Fingeravtrykk |
|---|---|---|
| Digisign Server ID - (Enrich) | Entrust.net Certification Authority (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign Server ID (Enrich) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Forslag til tiltak
For støttede versjoner av Microsoft Windows
De fleste kundene har aktivert funksjonen for automatiske oppdateringer og trenger ikke gjøre noe fordi oppdateringen KB2641690 lastes ned og installeres automatisk. Kunder som ikke har aktivert funksjonen for automatiske oppdateringer, må søke etter oppdateringer og installere denne oppdateringen manuelt. Hvis du vil ha informasjon om bestemte konfigurasjonsalternativer for automatisk oppdatering, kan du se Microsoft Knowledge Base-artikkel 294871.
For administratorer og bedriftsinstallasjoner eller sluttbrukere som vil installere denne oppdateringen KB2641690 manuelt, anbefaler Microsoft at kunder installerer oppdateringen umiddelbart ved hjelp av programvare for oppdateringsbehandling eller ved å søke etter oppdateringer ved hjelp av tjenesten Microsoft Update. Hvis du vil ha mer informasjon om hvordan du kan installere oppdateringen manuelt, kan du se Microsoft Knowledge Base-artikkel 2641690.
For enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5.
Hvis du vil ha informasjon om oppdateringen for enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5, kan du se Microsoft Knowledge Base-artikkel 2641690.
Flere forslag til tiltak
Beskytt din PC
Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.
Hvis du vil ha mer informasjon om sikkerhet på Internett, kan du se Microsofts sikkerhetssentral.
Hold Microsoft-programvaren oppdatert
Brukere med Microsoft-programvare bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Microsoft Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har automatiske oppdateringer aktivert og konfigurert for å oppdatere Microsoft-produkter, leveres oppdateringene til deg når de utgis, men du bør kontrollere at de installeres.
Annen informasjon
Microsoft Active Protections Program (MAPP)
For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).
Tilbakemelding
- Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.
Kundestøtte
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner
- V1.0 (10. november 2011): Veiledning publisert.
- V2.0 (16. november 2011): Revidert for å informere om nyutgivelsen av oppdateringen KB2641690. Du finner mer informasjon i delen Vanlige spørsmål for oppdateringen i denne sikkerhetsveiledningen. I tillegg lagt til en kobling til Microsoft Knowledge Base-artikkel 2641690 under Kjente problemer i Kortfattet sammendrag.
- V3.0 (19. januar 2012): Revidert for å informere om utgivelsen av en oppdatering for enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5.
Built at 2014-04-18T01:50:00Z-07:00