Beveiligingsadvies

Microsoft Security Advisory 2718704

Niet-geautoriseerde digitale certificaten kunnen adresvervalsing toestaan

Gepubliceerd: 03 juni 2012 | Bijgewerkt: 13 juni 2012

Versie: 1.1

Algemene gegevens

Samenvatting

Microsoft is op de hoogte van actieve aanvallen met behulp van niet-geautoriseerde digitale certificaten die zijn afgeleid van een Microsoft-certificeringsinstantie. Een niet-geautoriseerd certificaat kan worden gebruikt om inhoud te spoofen, phishingaanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren. Dit probleem is van invloed op alle ondersteunde versies van Microsoft Windows.

Microsoft biedt een update voor alle ondersteunde versies van Microsoft Windows. De update trekt de vertrouwensrelatie van de volgende tussenliggende CA-certificaten in:

  • Microsoft Forced Licensing Intermediate PCA (2 certificaten)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Aanbeveling. Voor ondersteunde versies van Microsoft Windows raadt Microsoft aan dat klanten de update onmiddellijk toepassen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie de sectie Voorgestelde acties van dit advies voor meer informatie.

Adviesdetails

Probleemverwijzingen

Zie de volgende verwijzingen voor meer informatie over dit probleem:

Verwijzingen Kenmerk
Microsoft Knowledge Base-artikel 2718704 

Betrokken software en apparaten

In dit advies worden de volgende betrokken software en apparaten besproken.

Betrokken software
Besturingssysteem
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Op Itanium gebaseerde systemen Service Pack 2
Windows 7 voor 32-bits systemen
Windows 7 voor 32-bits systemen Service Pack 1
Windows 7 voor x64-systemen
Windows 7 voor x64-systemen Service Pack 1
Windows Server 2008 R2 voor x64-gebaseerde
Windows Server 2008 R2 voor x64-systemen Service Pack 1
Windows Server 2008 R2 voor Itanium-systemen
Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1
Server Core-installatieoptie
Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie)

 

Niet-beïnvloede apparaten
Windows Mobile 6.x
Windows Telefoon 7
Windows Telefoon 7.5

Veelgestelde vragen

Waarom is dit advies herzien op 13 juni 2012?
Microsoft heeft dit advies herzien om klanten te informeren dat Microsoft na nader onderzoek heeft vastgesteld dat Windows Mobile 6.x, Windows Telefoon 7 en Windows Telefoon 7.5-apparaten niet worden beïnvloed door het probleem.

Wat is het bereik van het advies?
Het doel van dit advies is om klanten op de hoogte te stellen dat Microsoft heeft bevestigd dat twee niet-geautoriseerde certificaten zijn uitgegeven door Microsoft en worden gebruikt bij actieve aanvallen. Tijdens ons onderzoek is vastgesteld dat een derde certificeringsinstantie certificaten met zwakke coderingen heeft uitgegeven.

Microsoft heeft een update uitgegeven voor alle ondersteunde versies van Microsoft Windows waarmee het probleem wordt opgelost.

Heeft dit updateadres andere niet-geautoriseerde digitale certificaten?
Ja, naast het aanpakken van de drie niet-geautoriseerde certificaten die in dit advies worden beschreven, is deze update cumulatief en worden niet-geautoriseerde digitale certificaten beschreven in eerdere adviezen: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712 en Microsoft Security Advisory 2641690.

Wordt Windows 8 Consumer Preview beïnvloed door het probleem dat in dit advies is opgelost?
Ja. De update is beschikbaar voor de release van Windows 8 Consumer Preview. Klanten met Windows 8 Consumer Preview worden aangemoedigd om de updates op hun systemen toe te passen. De updates zijn alleen beschikbaar in Windows Update.

Wordt Windows 8 Release Preview beïnvloed door het probleem dat in dit advies is opgelost?
Ja. De update is beschikbaar voor de release van Windows 8 Release Preview. Klanten met Windows 8 Release Preview worden aangemoedigd om de updates op hun systemen toe te passen. De updates zijn alleen beschikbaar in Windows Update.

Wat is cryptografie?
Cryptografie is de wetenschap van het beveiligen van gegevens door deze te converteren tussen de normale, leesbare status (ook wel tekst zonder opmaak genoemd) en een waarin de gegevens worden verborgen (ook wel ciphertext genoemd).

In alle vormen van cryptografie wordt een waarde gebruikt die bekend staat als een sleutel in combinatie met een procedure die een cryptoalgoritme wordt genoemd om gegevens zonder opmaak te transformeren in coderingstekst. In het meest bekende type cryptografie, geheime-sleutelcryptografie, wordt de coderingstekst weer omgezet in tekst zonder opmaak met behulp van dezelfde sleutel. In een tweede type cryptografie, openbare-sleutelcryptografie, wordt echter een andere sleutel gebruikt om de coderingstekst terug te zetten in tekst zonder opmaak.

Wat is een digitaal certificaat?
In openbare-sleutelcryptografie moet een van de sleutels, ook wel de persoonlijke sleutel genoemd, geheim worden gehouden. De andere sleutel, ook wel de openbare sleutel genoemd, is bedoeld om te worden gedeeld met de wereld. Er moet echter een manier zijn voor de eigenaar van de sleutel om de wereld te vertellen waartoe de sleutel behoort. Digitale certificaten bieden een manier om dit te doen. Een digitaal certificaat is een manipulatiebestendig stukje gegevens waarmee een openbare sleutel wordt verpakt, samen met informatie over het certificaat- wie eigenaar is, waarvoor het kan worden gebruikt, wanneer deze verloopt, enzovoort.

Waarvoor worden certificaten gebruikt?
Certificaten worden voornamelijk gebruikt om de identiteit van een persoon of apparaat te verifiëren, een service te verifiëren of bestanden te versleutelen. Normaal gesproken hoeft u helemaal niet na te denken over certificaten. Mogelijk ziet u echter een bericht waarin wordt aangegeven dat een certificaat is verlopen of ongeldig is. In die gevallen moet u de instructies in het bericht volgen.

Wat is een certificeringsinstantie (CA)?
Certificeringsinstanties zijn de organisaties die certificaten uitgeven. Ze bepalen en verifiëren de echtheid van openbare sleutels die deel uitmaken van personen of andere certificeringsinstanties en ze verifiëren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat is een certificaatvertrouwenslijst (CTL)?
Er moet een vertrouwensrelatie bestaan tussen de ontvanger van een ondertekend bericht en de ondertekenaar van het bericht. Een methode om deze vertrouwensrelatie tot stand te brengen, is via een certificaat, een elektronisch document dat controleert of entiteiten of personen zijn die zij beweren te zijn. Een certificaat wordt uitgegeven aan een entiteit door een derde partij die wordt vertrouwd door beide andere partijen. Elke geadresseerde van een ondertekend bericht bepaalt dus of de verlener van het certificaat van de ondertekenaar betrouwbaar is. CryptoAPI heeft een methodologie geïmplementeerd om toepassingsontwikkelaars toe te staan toepassingen te maken die automatisch certificaten verifiëren op basis van een vooraf gedefinieerde lijst met vertrouwde certificaten of basiscertificaten. Deze lijst met vertrouwde entiteiten (ook wel onderwerpen genoemd) wordt een certificaatvertrouwenslijst (CTL) genoemd. Zie het MSDN-artikel, Verificatie van certificaatvertrouwen voor meer informatie.

Wat heeft het probleem veroorzaakt?
Microsoft is op de hoogte van actieve aanvallen met behulp van niet-geautoriseerde digitale certificaten die zijn afgeleid van een Microsoft-certificeringsinstantie. Een niet-geautoriseerd certificaat kan worden gebruikt om inhoud te spoofen, phishingaanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren. Dit probleem is van invloed op alle ondersteunde versies van Microsoft Windows.

Wat kan een aanvaller doen met het probleem?
Een aanvaller kan deze certificaten gebruiken om inhoud te spoofen, phishingaanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren.

Wat is een man-in-the-middle aanval?
Een man-in-the-middle-aanval treedt op wanneer een aanvaller de communicatie tussen twee gebruikers omleiden via de computer van de aanvaller zonder de kennis van de twee communicerende gebruikers. Elke gebruiker in de communicatie verzendt onbewust verkeer naar en ontvangt verkeer van de aanvaller, terwijl ze denken dat ze alleen communiceren met de beoogde gebruiker.

Wat doet Microsoft om dit probleem op te lossen?
We hebben het niet-vertrouwde certificaatarchief bijgewerkt om de vertrouwensrelatie in de betrokken Microsoft-certificeringsinstanties te verwijderen.

Hoe kan ik na het toepassen van de update de certificaten in het Microsoft Untrusted Certificates Store verifiëren?
Zie het MSDN-artikel over het weergeven van certificaten voor informatie over het weergeven van certificaten: Certificaten weergeven met de MMC-module.

Controleer in de MMC-module Certificaten of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde certificaten:

Certificaat Uitgegeven door Vingerafdruk
Door Microsoft afgedwongen licenties tussenliggende PCA Microsoft Root Authority 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Door Microsoft afgedwongen licenties tussenliggende PCA Microsoft Root Authority 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1) Microsoft Root Certificate Authority fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

Voorgestelde acties

Voor ondersteunde versies van Microsoft Windows

Het merendeel van de klanten heeft automatische updates ingeschakeld en hoeft geen actie te ondernemen omdat de KB2718704-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.

Voor beheerders en bedrijfsinstallaties of eindgebruikers die de KB2718704-update handmatig willen installeren, raadt Microsoft klanten aan de update onmiddellijk toe te passen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie het Microsoft Knowledge Base-artikel 2718704 voor meer informatie over het handmatig toepassen van de update.

Aanvullende voorgestelde acties

  • Uw pc beveiligen

    We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Klanten kunnen meer informatie over deze stappen vinden door naar Uw computer beveiligen te gaan.

    Ga naar Microsoft Security Central voor meer informatie over veilig blijven op internet.

  • Microsoft-software bijgewerkt houden

    Gebruikers met Microsoft-software moeten de nieuwste Beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo beveiligd mogelijk zijn. Als u niet zeker weet of uw software up-to-date is, gaat u naar Microsoft Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als u automatische updates hebt ingeschakeld en geconfigureerd om updates voor Microsoft-producten te bieden, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar controleert u of ze zijn geïnstalleerd.

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites van programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).

Feedback

  • U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.

Ondersteuning

Vrijwaring

De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.

Revisies

  • V1.0 (3 juni 2012): Advies gepubliceerd.
  • V1.1 (13 juni 2012): Advies gewijzigd om klanten te informeren dat Windows Mobile 6.x-, Windows Telefoon 7- en Windows Telefoon 7.5-apparaten niet worden beïnvloed door het probleem.

Gebouwd op 2014-04-18T13:49:36Z-07:00