Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 2524375

Frauduleuze digitale certificaten kunnen leiden tot vervalsing (spoofing)

Gepubliceerd: woensdag 23 maart 2011 | Bijgewerkt: dinsdag 10 mei 2011

Versie: 4.0

Algemene informatie

Samenvatting

Microsoft is op de hoogte van negen frauduleuze digitale certificaten, uitgegeven door Comodo, een certificeringsinstantie die voorkomt in het archief met vertrouwde basiscertificeringsinstanties, op alle ondersteunde versies van Microsoft Windows, Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten. Comodo heeft Microsoft op 16 maart 2011 geïnformeerd over het feit dat negen certificaten zijn ondertekend namens een derde partij zonder diens identiteit voldoende te valideren. Deze certificaten kunnen worden gebruikt om inhoud te vervalsen (spoofen), phishing-aanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.

Deze certificaten hebben betrekking op de volgende webeigenschappen:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 certificaten)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

Comodo heeft deze certificaten ingetrokken en opgenomen in de huidige CRL (Certificate Revocation List) van Comodo. Browsers die het OCSP (Online Certificate Status Protocol) hebben ingeschakeld, zullen deze certificaten bovendien interactief valideren en het gebruik ervan blokkeren.

Een update om dit probleem op te lossen, is beschikbaar voor alle ondersteunde releases van Windows en voor Windows Mobile 6.x-apparaten. Vanaf 3 mei 2011 wordt de update ook geleverd aan Windows Phone 7-klanten. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over deze update.

Klanten die werken met ondersteunde releases van Microsoft Windows hoeven geen actie te ondernemen om deze update te installeren omdat de meeste klanten Automatische updates hebben ingeschakeld, en deze update dan automatisch wordt gedownload en geïnstalleerd. Voor meer informatie, inclusief hoe u deze update handmatig installeert en hoe u de update installeert op Windows Mobile 6.x- en Windows Phone 7-apparaten, raadpleegt u het onderdeel Voorgestelde acties van dit advies.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
Microsoft Knowledge Base-artikel 2524375

Software en apparaten waarin dit probleem optreedt

Dit advies betreft de volgende software en apparaten.

Software waarin dit probleem optreedt
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista Service Pack 1 en Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2*
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2*
Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1*
Windows Server 2008 R2 voor Itanium-systemen en Windows Server 2008 R2 voor Itanium-systemen met Service Pack 1
Getroffen apparaten
Windows Mobile 6.x
Windows Phone 7
Microsoft Kin
Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB en Zune 120GB
Zune HD 16GB, Zune HD 32GB en Zune HD 64GB

*De Server Core-installatie wordt niet getroffen door dit beveiligingslek. Deze update is met hetzelfde prioriteitsniveau van toepassing op ondersteunde edities van Windows Server 2008 en Windows Server 2008 R2, zoals is aangegeven, ongeacht of deze zijn geïnstalleerd met de optie Server Core-installatie. Zie de TechNet-artikelen Managing a Server Core Installation en Servicing a Server Core Installation voor meer informatie over deze installatieoptie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2. Zie hiervoor Server Core-installatieopties vergelijken.

Waarom is dit advies herzien op 10 mei 2011?  
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Mobile 6.x-apparaten. De update kan alleen worden gedownload via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie.

De updates voor Microsoft Kin- en Zune-apparaten zijn nog niet beschikbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.

Waarom is dit advies herzien op 3 mei 2011?  
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Phone 7-apparaten. Op het moment van de release was de update niet beschikbaar voor alle Windows Phone 7-klanten. In plaats daarvan ontvangen klanten een melding op hun apparaat zodra de update beschikbaar is voor hun telefoon. Voor meer informatie over de installatie van update moeten Windows Phone 7-klanten hun telefoon aansluiten op een computer, en de Zune PC-client of Windows Phone 7 Connector (voor Mac) gebruiken om het updateproces te voltooien. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie.

De updates voor Windows Mobile 6.x-, Microsoft Kin- en Zune-apparaten zijn op dit moment nog niet verkrijgbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.

Waarom is dit advies herzien op 19 april 2011?  
Microsoft heeft dit advies herzien om Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten toe te voegen aan software en apparaten waarin dit probleem optreedt. Microsoft is op de hoogte van het feit dat het lokale archief met niet-vertrouwde certificaten op deze apparaten moet worden bijgewerkt om de negen frauduleuze digitale certificaten op te nemen.

De updates voor Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten zijn op dit moment nog niet verkrijgbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.

Wat is cryptografie?  
Cryptografie is de wetenschap van het beveiligen van informatie door deze te converteren van de normale, leesbare toestand (plaintext) naar een toestand waarin de gegevens zijn verborgen (ciphertext).

In alle vormen van cryptografie wordt een waarde, een zogenaamde sleutel, in combinatie met een procedure, een cryptoalgoritme, gebruikt om plaintext om te zetten in ciphertext. In de meest bekende vorm van cryptografie, cryptografie met geheime sleutel, wordt de ciphertext met dezelfde sleutel weer teruggezet in plaintext. In een tweede vorm van cryptografie, cryptografie met openbare sleutel, wordt een andere sleutel gebruikt om de ciphertext weer terug te zetten in plaintext.

Wat is een digitaal certificaat?  
In cryptografie met openbare sleutel moet een van de sleutels, de privésleutel, geheimgehouden worden. De andere sleutel, de openbare sleutel, is bedoeld om openbaar gemaakt te worden. Er moet echter een manier zijn waarop de eigenaar van de sleutel bekend kan maken van wie de sleutel is. Dit gebeurt met digitale certificaten. Een digitaal certificaat is een beveiligd bestand dat een openbare sleutel plus informatie over deze sleutel bevat: wie de eigenaar van de sleutel is, waarvoor de sleutel kan worden gebruikt, wanneer deze verloopt, enzovoort.

Waarvoor worden certificaten gebruikt?  
Certificaten worden hoofdzakelijk gebruikt om de identiteit te controleren van een persoon of apparaat, een service te verifiëren of bestanden te coderen. Normaal gesproken hoeft u zich niet met certificaten bezig te houden. Het is echter mogelijk dat u af en toe het bericht ziet dat een certificaat is verlopen of ongeldig is. In die gevallen moet u de instructies in het bericht volgen.

Wat is een certificeringsinstantie?  
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat heeft het probleem veroorzaakt?  
Comodo, een belangrijke certificeringsinstantie, heeft Microsoft op de hoogte gebracht van het feit dat verschillende digitale certificaten zijn uitgegeven zonder hun identiteit voldoende te valideren. Deze certificaten kunnen worden gebruikt om de identiteit van services te vervalsen (spoofen) zodat gebruikers deze certificaten vertrouwen.

Opmerking Comodo heeft deze certificaten ingetrokken en opgenomen in de huidige CRL (Certificate Revocation List) van Comodo.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?  
Een aanvaller kan deze certificaten gebruiken om inhoud te vervalsen (spoofen), phishing-aanvallen te verrichten of man-in-the-middle-aanvallen te verrichten tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.

Wat is een MITM-aanval (man-in-the-middle)?  
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.

Wat is de procedure voor het intrekken van een certificaat?  
Er is een standaardprocedure waarmee Comodo kan voorkomen dat deze certificaten worden geaccepteerd als ze worden gebruikt. Iedere uitgever van certificaten genereert regelmatig een CRL, waarop alle certificaten voorkomen die als ongeldig moeten worden beschouwd. Elk certificaat moet een stukje gegevens verstrekken, het CDP (CRL Distribution Point), dat aangeeft waar de CRL kan worden opgehaald.

Webbrowsers kunnen de identiteit van een digitaal certificaat ook valideren met behulp van het OCSP (Online Certificate Status Protocol). OCSP maakt interactieve validatie van een certificaat mogelijk door verbinding te maken met een OCSP-responder, gehost door de certificeringsinstantie die het digitale certificaat heeft ondertekend. Elk certificaat moet via de AIA-extensie (Authority Information Access) in het certificaat een verwijzing bevatten naar de locatie van de OCSP-responder. Bovendien geeft OCSP stapling de webserver de mogelijkheid om zelf een OCSP-validatieantwoord aan de client te verstrekken.

OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en nieuwere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 ingeschakeld. Als de OCSP-validatiecontrole op deze besturingssystemen mislukt, zal de browser het certificaat valideren door contact op te nemen met de CRL-locatie.

Voor meer informatie over de controle op ingetrokken certificaten, raadpleegt u het TechNet-artikel, Certificate Revocation and Status Checking.

Wat is een Certificate Revocation List (CRL)?  
CRL is een digitaal ondertekende lijst, uitgegeven door een certificeringsinstantie, met certificaten die door de certificeringsinstantie zijn uitgegeven en daarna door de certificeringsinstantie zijn ingetrokken. Voor elk afzonderlijk ingetrokken certificaat vermeldt de lijst het serienummer van het certificaat, de datum waarop het certificaat is ingetrokken en de reden van intrekking. Toepassingen kunnen een CRL-controle uitvoeren om de intrekkingsstatus van een bepaald certificaat na te gaan.

Wat is CRL Distribution Point (CDP)?  
CDP is een certificaatextensie die aangeeft waar de CRL van een certificeringsinstantie kan worden opgehaald. Deze kan geen, één of veel HTTP-, bestands- of LDAP-URLs bevatten.

Wat is Online Certificate Status Protocol (OCSP)?  
OCSP is een protocol dat realtime validatie van de status van een certificaat mogelijk maakt. Normaal antwoordt een OCSP-responder met de intrekkingsstatus op basis van de CRL die van de certificeringsinstantie is verkregen.

Wat doet Microsoft om te helpen bij de oplossing van dit probleem?  
Hoewel dit probleem niet het gevolg is van een probleem in een Microsoft-product, hebben we toch een update ontwikkeld die klanten kan beschermen door ervoor te zorgen dat deze negen frauduleuze certificaten altijd worden beschouwd als onbetrouwbaar.

Waarom geeft Microsoft een update uit terwijl er geen probleem is in Microsoft-software?  
Zelfs als CRL-en OCSP-validatie is ingeschakeld, zijn validatietechnieken niet sterk genoeg om te garanderen dat gebruikers zijn beschermd tegen schadelijk gebruik van deze certificaten. Wanneer de CRL-locatie en OCSP-responder bereikbaar zijn, zijn validatiecontroles uiterst betrouwbaar en doeltreffend.

Als de controle op ingetrokken certificaten echter mislukt door netwerk- of verbindingsproblemen, is het mogelijk dat browsers en andere clienttoepassingen, waaronder Internet Explorer, deze fouten negeren en het certificaat als betrouwbaar beschouwen omdat het tegendeel niet is aangetoond. In deze scenario's kunnen klanten worden getroffen.

Wat doet de update? 
De update voor ondersteunde releases van Microsoft Windows lost het probleem op door de negen frauduleuze certificaten in het lokale Microsoft Windows-archief met niet-vertrouwde certificaten te plaatsen. De updates voor Windows Mobile 6.x- en Windows Phone 7-apparaten lossen het probleem op door de negen frauduleuze certificaten in het lokale archief met onbetrouwbare certificaten op het apparaat op te slaan. De updates voor Microsoft Kin- en Zune-apparaten zijn nog niet beschikbaar.

Hoe weet ik of ik te maken heb met een ongeldig certificaat?  
Wanneer Internet Explorer een ongeldig certificaat tegenkomt, wordt een webpagina weergegeven met het bericht 'Er is een probleem met het beveiligingscertificaat van deze website'. Wanneer deze waarschuwing wordt weergegeven, worden gebruikers geadviseerd om de webpagina te sluiten en weg te gaan van de website.

Dit bericht wordt alleen weergegeven als is vastgesteld dat het certificaat ongeldig is, bijvoorbeeld wanneer de gebruiker CRL- (Certificate Revocation List) of OCSP-validatie (Online Certificate Status Protocol) heeft ingeschakeld. OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.

Hoe kan ik de certificaten in de map Niet-vertrouwde certificaten verifiëren nadat ik de update heb toegepast?  
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.

In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:

CertificaatUitgegeven doorSerienummer
addons.mozilla.orgUTN-USERFirst-Hardware00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
“Global Trustee”UTN-USERFirst-Hardware00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.comUTN-USERFirst-Hardware00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.comUTN-USERFirst-Hardware00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.comUTN-USERFirst-Hardware00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.comUTN-USERFirst-Hardware39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.comUTN-USERFirst-Hardware3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.comUTN-USERFirst-Hardware04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.comUTN-USERFirst-Hardware00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

De update installeren

Er is een update verkrijgbaar om dit probleem te verhelpen.

  • Voor ondersteunde releases van Microsoft Windows

    De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat deze update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

    Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.

    De update is ook verkrijgbaar via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor downloadkoppelingen.

  • Voor Windows Phone 7-apparaten

    Op het moment van de release was de update niet beschikbaar voor alle Windows Phone 7-klanten. In plaats daarvan ontvangen klanten een melding op hun apparaat zodra de update beschikbaar is voor hun telefoon. Voor meer informatie over de installatie van update moeten Windows Phone 7-klanten hun telefoon aansluiten op een computer, en de Zune PC-client of Windows Phone 7 Connector (voor Mac) gebruiken om het updateproces te voltooien. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over de update.

    Om de Zune PC-client bij te werken, kunnen klanten Automatische updates configureren om met de service Microsoft Update online te controleren op updates van Microsoft Update. Klanten die Automatische updates hebben ingeschakeld en hebben geconfigureerd om online op updates te controleren bij Microsoft Update, hoeven doorgaans geen actie te ondernemen om hun Zune-software bij te werken omdat deze update automatisch zal worden gedownload en geïnstalleerd.

  • Voor Windows Mobile 6.x-apparaten

    De beveiligingsupdate kan worden gedownload via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over de update, inclusief downloadkoppelingen.

Extra voorgestelde acties

  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

    Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over dit probleem.

  • Beveilig uw pc

    Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden en installeren van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.

    Voor meer informatie over veilig surfen verwijzen wij u naar de website van het beveiligingscentrum van Microsoft.

  • Zorg dat Microsoft-software bijgewerkt is

    Gebruikers die Microsoft-software gebruiken, wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Microsoft Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Indien u Automatische updates hebt ingeschakeld en zo hebt geconfigureerd dat updates voor Microsoft-producten worden verstrekt, ontvangt u de updates zodra ze zijn uitgegeven. U moet wel controleren of ze zijn geïnstalleerd.

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (23 maart 2011): Advies gepubliceerd.
  • V2.0 (19 april 2011): Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten zijn toegevoegd aan software en apparaten waarin dit probleem optreedt.
  • V3.0 (3 mei 2011): Aankondiging van de release van een update voor Windows Phone 7-apparaten. De update is op het moment van de release niet voor alle klanten beschikbaar. Zie de veelgestelde vragen in het advies over meer informatie.
  • V4.0 (10 mei 2011): Aankondiging van de release van een update voor Windows Mobile 6.x-apparaten.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft