Microsofts sikkerhetsveiledning 2718704
Uautoriserte digitale sertifikater kan tillate etterligningsangrep
Publisert: 3. juni 2012 | Oppdatert: 13. juni 2012
Versjon: 1.1
Generell informasjon
Kortfattet sammendrag
Microsoft kjenner til aktive angrep som bruker uautoriserte digitale sertifikater utledet fra en Microsoft-sertifiseringsinstans. Et uautorisert sertifikat kan brukes til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep. Dette sikkerhetsproblemet berører alle støttede versjoner av Microsoft Windows.
Microsoft utgir en oppdatering som løser problemet for alle støttede versjoner av Microsoft Windows. Oppdateringen opphever klareringen av de følgende CA-sertifikatene:
- Microsoft Enforced Licensing Intermediate PCA (2 sertifikater)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
Anbefaling. Microsoft anbefaler at kunder med støttede versjoner av Microsoft Windows installerer oppdateringen umiddelbart ved hjelp av programvare for oppdateringsbehandling eller ved å søke etter oppdateringer ved hjelp av tjenesten Microsoft Update. Du finner mer informasjon i delen Forslag til tiltak i denne sikkerhetsveiledningen.
Detaljer om veiledningen
Referanser til sikkerhetsproblemet
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:
Referanser | Identifisering |
---|---|
Microsoft Knowledge Base-artikkel | 2718704 |
Berørte programmer og enheter
Denne veiledningen gjelder følgende berørte programmer og enheter.
Berørt programvare |
---|
Operativsystem |
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 SP2 for Itanium-baserte systemer |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 for 32-biters systemer med Service Pack 2 |
Windows Server 2008 for x64-baserte systemer med Service Pack 2 |
Windows Server 2008 for Itanium-baserte systemer med Service Pack 2 |
Windows 7 for 32-biters systemer |
Windows 7 for 32-biters systemer med Service Pack 1 |
Windows 7 for x64-baserte systemer |
Windows 7 for x64-baserte systemer med Service Pack 1 |
Windows Server 2008 R2 for x64-basert |
Windows Server 2008 R2 for x64-baserte systemer med Service Pack 1 |
Windows Server 2008 R2 for Itanium-baserte systemer |
Windows Server 2008 R2 for Itanium-baserte systemer med Service Pack 1 |
Server Core-installasjonsalternativ |
Windows Server 2008 for 32-biters systemer med Service Pack 2 (Server Core-installasjon) |
Windows Server 2008 for x64-baserte systemer med Service Pack 2 (Server Core-installasjon) |
Windows Server 2008 R2 for x64-baserte systemer (Server Core-installasjon) |
Windows Server 2008 R2 for x64-baserte systemer med Service Pack 1 (Server Core-installasjon) |
Uberørte enheter |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
Vanlige spørsmål
Hvorfor ble denne veiledningen revidert 13. juni 2012 ?
Microsoft har revidert denne veiledningen for å informere kundene om at etter videre undersøkelser har Microsoft fastslått at enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5 ikke er berørt av dette problemet.
Hva behandles i veiledningen?
Hensikten med denne veiledningen er å informere kundene om at Microsoft har bekreftet at to uautoriserte sertifikater er utgitt av Microsoft og benyttes i aktive angrep. Våre undersøkelser har vist at en tredje sertifiseringsinstans har utgitt sertifikater med svak chiffrering.
Microsoft har utgitt en oppdatering som løser problemet for alle støttede versjoner av Microsoft Windows.
Løser denne oppdateringen problemer med andre uautoriserte digitale sertifikater ?
Ja, i tillegg til å løse problemer med de tre uautoriserte sertifikatene som beskrives i denne veiledningen, er dette en kumulativ oppdatering løser problemer med digitale sertifikater som beskrives i tidligere veiledninger: Microsofts sikkerhetsveiledning 2524375, Microsofts sikkerhetsveiledning 2607712 og Microsofts sikkerhetsveiledning 2641690.
Er Windows 8 Consumer Preview berørt av problemet som beskrives i denne veiledningen ?
Ja. Oppdateringen er tilgjengelig for Windows 8 Consumer Preview-versjonen. Kunder med Windows 8 Consumer Preview oppfordres til å laste ned og installere oppdateringen på systemene sine. Oppdateringene er bare tilgjengelige via Windows Update.
Er Windows 8 Release Preview berørt av problemet som beskrives i denne veiledningen ?
Ja. Oppdateringen er tilgjengelig for Windows 8 Release Preview-versjonen. Kunder med Windows 8 Release Preview oppfordres til å laste ned og installere oppdateringen på systemene sine. Oppdateringene er bare tilgjengelige via Windows Update.
Hva er kryptografi?
Kryptografi dreier seg om å sikre informasjon ved å konvertere den mellom normal, lesbar tilstand (kalles ren tekst) og en tilstand der dataene er skjult (kalles chifferkodetekst).
I alle former for kryptografi brukes en verdi som kalles en nøkkel, sammen med en prosedyre som kalles en krypteringsalgoritme, til å konvertere data i ren tekst til chifferkodetekst. I den vanligste typen kryptografi, kryptografi med hemmelig nøkkel, konverteres chifferkodeteksten tilbake til ren tekst ved hjelp av samme nøkkel. I en annen type kryptografi, kryptografi med fellesnøkkel, brukes det en annen nøkkel til å konvertere chifferkodeteksten tilbake til ren tekst.
Hva er et digitalt sertifikat?
I kryptografi med fellesnøkkel må en av nøklene, kalt den private nøkkelen, holdes hemmelig. Den andre nøkkelen, kalt fellesnøkkelen, deles med resten av verden. Det må imidlertid finnes en metode som eieren av nøkkelen kan bruke for å fortelle verden hvem som eier nøkkelen. Digitale sertifikater er en slik metode. Et digital sertifikat er data som ikke kan manipuleres, som pakker en fellesnøkkel sammen med informasjon om nøkkelen – hvem som eier den, hva den kan brukes til, når den utløper, og så videre.
Hva brukes sertifikater til?
Sertifikater brukes først og fremst til å verifisere identiteten til en person eller enhet, autentisere en tjeneste eller kryptere filer. Vanligvis trenger du ikke å tenke på sertifikater. Det er imidlertid mulig at du ser en melding om at et sertifikat er utløpt eller ugyldig. I slike tilfeller bør du følge instruksjonene på siden.
Hva er en sertifiseringsinstans (CA)?
Sertifiseringsinstanser er organisasjoner som utgir sertifikater. De fastslår og verifiserer ektheten til fellesnøkler som tilhører personer eller andre organisasjoner, og de verifiserer identiteten til en person eller organisasjon som ber om et sertifikat.
Hva er en liste over klarerte sertifikater (CTL)?
Mottakeren av en signert melding må kunne stole på den som signerer meldingen. Dette kan oppnås ved hjelp av et sertifikat, som er et elektronisk dokument som verifiserer at instanser eller personer virkelig er hva eller hvem de hevder å være. Et sertifikat utstedes til en instans av en tredjepart som er klarert av de andre to partene. Hver mottaker av en signert melding avgjør om utstederen av sertifikatet til den som signerer meldingen, er til å stole på. CryptoAPI har implementert en metode som gir programutviklere muligheten til å skape programmer som automatisk verifiserer sertifikater mot en forhåndsdefinert liste over klarerte sertifikater eller røtter. Denne listen over klarerte instanser kalles en liste over klarerte sertifikater (CTL). Hvis du vil ha mer informasjon, kan du lese MSDN-artikkelen Certificate Trust Verification.
Hva forårsaket dette problemet?
Microsoft kjenner til aktive angrep som bruker uautoriserte digitale sertifikater utledet fra en Microsoft-sertifiseringsinstans. Et uautorisert sertifikat kan brukes til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep. Dette sikkerhetsproblemet berører alle støttede versjoner av Microsoft Windows.
Hvordan kan en angriper utnytte dette sikkerhetsproblemet ?
En angriper kan bruke et uautorisert sertifikat til å etterligne innhold, utføre phishing-angrep eller utføre mellommannbaserte angrep.
Hva er et mellommannsbasert angrep?
Et mellommannsbasert angrep forekommer når en angriper omdirigerer kommunikasjon mellom to brukere gjennom angriperens datamaskin uten at de to kommuniserende brukerne har kjennskap til dette. Begge brukerne i kommunikasjonen er uvitende om at kommunikasjonen går gjennom angriperen, og tror at de bare kommuniserer med hverandre.
Hva gjør Microsoft for å bidra til å løse dette problemet?
Vi har oppdatert lageret for ikke-klarerte sertifikater for å fjerne klareringen av de berørte Microsoft-sertifiseringsinstansene.
Hvordan kan jeg kontrollere sertifikatene i Microsofts lager for ikke-klarerte sertifikater når jeg har installert oppdateringen? **
**Hvis du vil ha mer informasjon om hvordan du viser sertifikater, kan du se MSDN-artikkelen Fremgangsmåte: Vise sertifikater med MMC-snapin-modulen.
I MMC-snapin-modulen for sertifikater kontrollerer du at de følgende sertifikatene er lagt til i mappen med sertifikater som ikke er klarert:
Sertifikat | Utgitt av | Fingeravtrykk |
---|---|---|
Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
Microsoft Enforced Licensing Registration Authority CA (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Forslag til tiltak
For støttede versjoner av Microsoft Windows
De fleste kundene har aktivert funksjonen for automatiske oppdateringer og trenger ikke gjøre noe fordi oppdateringen KB2718704 lastes ned og installeres automatisk. Kunder som ikke har aktivert funksjonen for automatiske oppdateringer, må søke etter oppdateringer og installere denne oppdateringen manuelt. Hvis du vil ha informasjon om bestemte konfigurasjonsalternativer for automatisk oppdatering, kan du se Microsoft Knowledge Base-artikkel 294871.
For administratorer og bedriftsinstallasjoner eller sluttbrukere som vil installere denne oppdateringen KB2718704 manuelt, anbefaler Microsoft at kunder installerer oppdateringen umiddelbart ved hjelp av programvare for oppdateringsbehandling eller ved å søke etter oppdateringer ved hjelp av tjenesten Microsoft Update. Hvis du vil ha mer informasjon om hvordan du kan installere oppdateringen manuelt, kan du se Microsoft Knowledge Base-artikkel 2718704.
Flere forslag til tiltak
Beskytt din PC
Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.
Hvis du vil ha mer informasjon om sikkerhet på Internett, kan du se Microsofts sikkerhetssentral.
Hold Microsoft-programvaren oppdatert
Brukere med Microsoft-programvare bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Microsoft Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har automatiske oppdateringer aktivert og konfigurert for å oppdatere Microsoft-produkter, leveres oppdateringene til deg når de utgis, men du bør kontrollere at de installeres.
Annen informasjon
Microsoft Active Protections Program (MAPP)
For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).
Tilbakemelding
- Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.
Kundestøtte
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner
- V1.0 (3. juni 2012): Veiledning publisert.
- V1.1 (13. juni 2012): Veiledningen er revidert for å informere kundene om enheter med Windows Mobile 6.x, Windows Phone 7 og Windows Phone 7.5 ikke er berørt av dette problemet.
Built at 2014-04-18T01:50:00Z-07:00