Microsoft-beveiligingsadvies 2524375
Frauduleuze digitale certificaten kunnen leiden tot vervalsing (spoofing)
Gepubliceerd: woensdag 23 maart 2011 | Bijgewerkt: dinsdag 10 mei 2011
Versie: 4.0
Algemene informatie
Samenvatting
Microsoft is op de hoogte van negen frauduleuze digitale certificaten, uitgegeven door Comodo, een certificeringsinstantie die voorkomt in het archief met vertrouwde basiscertificeringsinstanties, op alle ondersteunde versies van Microsoft Windows, Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten. Comodo heeft Microsoft op 16 maart 2011 geïnformeerd over het feit dat negen certificaten zijn ondertekend namens een derde partij zonder diens identiteit voldoende te valideren. Deze certificaten kunnen worden gebruikt om inhoud te vervalsen (spoofen), phishing-aanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.
Deze certificaten hebben betrekking op de volgende webeigenschappen:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificaten)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo heeft deze certificaten ingetrokken en opgenomen in de huidige CRL (Certificate Revocation List) van Comodo. Browsers die het OCSP (Online Certificate Status Protocol) hebben ingeschakeld, zullen deze certificaten bovendien interactief valideren en het gebruik ervan blokkeren.
Een update om dit probleem op te lossen, is beschikbaar voor alle ondersteunde releases van Windows en voor Windows Mobile 6.x-apparaten. Vanaf 3 mei 2011 wordt de update ook geleverd aan Windows Phone 7-klanten. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over deze update.
Klanten die werken met ondersteunde releases van Microsoft Windows hoeven geen actie te ondernemen om deze update te installeren omdat de meeste klanten Automatische updates hebben ingeschakeld, en deze update dan automatisch wordt gedownload en geïnstalleerd. Voor meer informatie, inclusief hoe u deze update handmatig installeert en hoe u de update installeert op Windows Mobile 6.x- en Windows Phone 7-apparaten, raadpleegt u het onderdeel Voorgestelde acties van dit advies.
Details van het advies
Referenties met betrekking tot het probleem
Zie de volgende referenties voor meer informatie over dit probleem:
Meer informatie | Identificatie |
---|---|
Microsoft Knowledge Base-artikel | 2524375 |
Software en apparaten waarin dit probleem optreedt
Dit advies betreft de volgende software en apparaten.
Software waarin dit probleem optreedt |
---|
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 met SP2 voor Itanium-systemen |
Windows Vista Service Pack 1 en Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2* |
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2* |
Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2 |
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1 |
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1 |
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1* |
Windows Server 2008 R2 voor Itanium-systemen en Windows Server 2008 R2 voor Itanium-systemen met Service Pack 1 |
Getroffen apparaten |
Windows Mobile 6.x |
Windows Phone 7 |
Microsoft Kin |
Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB en Zune 120GB |
Zune HD 16GB, Zune HD 32GB en Zune HD 64GB |
*De Server Core-installatie wordt niet getroffen door dit beveiligingslek. Deze update is met hetzelfde prioriteitsniveau van toepassing op ondersteunde edities van Windows Server 2008 en Windows Server 2008 R2, zoals is aangegeven, ongeacht of deze zijn geïnstalleerd met de optie Server Core-installatie. Zie de TechNet-artikelen Managing a Server Core Installation en Servicing a Server Core Installation voor meer informatie over deze installatieoptie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2. Zie hiervoor Server Core-installatieopties vergelijken.
Waarom is dit advies herzien op 10 mei 2011?
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Mobile 6.x-apparaten. De update kan alleen worden gedownload via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie.
De updates voor Microsoft Kin- en Zune-apparaten zijn nog niet beschikbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.
Waarom is dit advies herzien op 3 mei 2011?
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Phone 7-apparaten. Op het moment van de release was de update niet beschikbaar voor alle Windows Phone 7-klanten. In plaats daarvan ontvangen klanten een melding op hun apparaat zodra de update beschikbaar is voor hun telefoon. Voor meer informatie over de installatie van update moeten Windows Phone 7-klanten hun telefoon aansluiten op een computer, en de Zune PC-client of Windows Phone 7 Connector (voor Mac) gebruiken om het updateproces te voltooien. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie.
De updates voor Windows Mobile 6.x-, Microsoft Kin- en Zune-apparaten zijn op dit moment nog niet verkrijgbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.
Waarom is dit advies herzien op 19 april 2011?
Microsoft heeft dit advies herzien om Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten toe te voegen aan software en apparaten waarin dit probleem optreedt. Microsoft is op de hoogte van het feit dat het lokale archief met niet-vertrouwde certificaten op deze apparaten moet worden bijgewerkt om de negen frauduleuze digitale certificaten op te nemen.
De updates voor Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten zijn op dit moment nog niet verkrijgbaar. Microsoft zal updates voor deze apparaten uitbrengen wanneer die updates volledig zijn getest. Alleen zo kan Microsoft kwaliteit garanderen.
Wat is cryptografie?
Cryptografie is de wetenschap van het beveiligen van informatie door deze te converteren van de normale, leesbare toestand (plaintext) naar een toestand waarin de gegevens zijn verborgen (ciphertext).
In alle vormen van cryptografie wordt een waarde, een zogenaamde sleutel, in combinatie met een procedure, een cryptoalgoritme, gebruikt om plaintext om te zetten in ciphertext. In de meest bekende vorm van cryptografie, cryptografie met geheime sleutel, wordt de ciphertext met dezelfde sleutel weer teruggezet in plaintext. In een tweede vorm van cryptografie, cryptografie met openbare sleutel, wordt een andere sleutel gebruikt om de ciphertext weer terug te zetten in plaintext.
Wat is een digitaal certificaat?
In cryptografie met openbare sleutel moet een van de sleutels, de privésleutel, geheimgehouden worden. De andere sleutel, de openbare sleutel, is bedoeld om openbaar gemaakt te worden. Er moet echter een manier zijn waarop de eigenaar van de sleutel bekend kan maken van wie de sleutel is. Dit gebeurt met digitale certificaten. Een digitaal certificaat is een beveiligd bestand dat een openbare sleutel plus informatie over deze sleutel bevat: wie de eigenaar van de sleutel is, waarvoor de sleutel kan worden gebruikt, wanneer deze verloopt, enzovoort.
Waarvoor worden certificaten gebruikt?
Certificaten worden hoofdzakelijk gebruikt om de identiteit te controleren van een persoon of apparaat, een service te verifiëren of bestanden te coderen. Normaal gesproken hoeft u zich niet met certificaten bezig te houden. Het is echter mogelijk dat u af en toe het bericht ziet dat een certificaat is verlopen of ongeldig is. In die gevallen moet u de instructies in het bericht volgen.
Wat is een certificeringsinstantie?
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.
Wat heeft het probleem veroorzaakt?
Comodo, een belangrijke certificeringsinstantie, heeft Microsoft op de hoogte gebracht van het feit dat verschillende digitale certificaten zijn uitgegeven zonder hun identiteit voldoende te valideren. Deze certificaten kunnen worden gebruikt om de identiteit van services te vervalsen (spoofen) zodat gebruikers deze certificaten vertrouwen.
Opmerking Comodo heeft deze certificaten ingetrokken en opgenomen in de huidige CRL (Certificate Revocation List) van Comodo.
Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Een aanvaller kan deze certificaten gebruiken om inhoud te vervalsen (spoofen), phishing-aanvallen te verrichten of man-in-the-middle-aanvallen te verrichten tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.
Wat is een MITM-aanval (man-in-the-middle)?
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.
Wat is de procedure voor het intrekken van een certificaat?
Er is een standaardprocedure waarmee Comodo kan voorkomen dat deze certificaten worden geaccepteerd als ze worden gebruikt. Iedere uitgever van certificaten genereert regelmatig een CRL, waarop alle certificaten voorkomen die als ongeldig moeten worden beschouwd. Elk certificaat moet een stukje gegevens verstrekken, het CDP (CRL Distribution Point), dat aangeeft waar de CRL kan worden opgehaald.
Webbrowsers kunnen de identiteit van een digitaal certificaat ook valideren met behulp van het OCSP (Online Certificate Status Protocol). OCSP maakt interactieve validatie van een certificaat mogelijk door verbinding te maken met een OCSP-responder, gehost door de certificeringsinstantie die het digitale certificaat heeft ondertekend. Elk certificaat moet via de AIA-extensie (Authority Information Access) in het certificaat een verwijzing bevatten naar de locatie van de OCSP-responder. Bovendien geeft OCSP stapling de webserver de mogelijkheid om zelf een OCSP-validatieantwoord aan de client te verstrekken.
OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en nieuwere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 ingeschakeld. Als de OCSP-validatiecontrole op deze besturingssystemen mislukt, zal de browser het certificaat valideren door contact op te nemen met de CRL-locatie.
Voor meer informatie over de controle op ingetrokken certificaten, raadpleegt u het TechNet-artikel, Certificate Revocation and Status Checking.
Wat is een Certificate Revocation List (CRL)?
CRL is een digitaal ondertekende lijst, uitgegeven door een certificeringsinstantie, met certificaten die door de certificeringsinstantie zijn uitgegeven en daarna door de certificeringsinstantie zijn ingetrokken. Voor elk afzonderlijk ingetrokken certificaat vermeldt de lijst het serienummer van het certificaat, de datum waarop het certificaat is ingetrokken en de reden van intrekking. Toepassingen kunnen een CRL-controle uitvoeren om de intrekkingsstatus van een bepaald certificaat na te gaan.
Wat is CRL Distribution Point (CDP)?
CDP is een certificaatextensie die aangeeft waar de CRL van een certificeringsinstantie kan worden opgehaald. Deze kan geen, één of veel HTTP-, bestands- of LDAP-URLs bevatten.
Wat is Online Certificate Status Protocol (OCSP)?
OCSP is een protocol dat realtime validatie van de status van een certificaat mogelijk maakt. Normaal antwoordt een OCSP-responder met de intrekkingsstatus op basis van de CRL die van de certificeringsinstantie is verkregen.
Wat doet Microsoft om te helpen bij de oplossing van dit probleem?
Hoewel dit probleem niet het gevolg is van een probleem in een Microsoft-product, hebben we toch een update ontwikkeld die klanten kan beschermen door ervoor te zorgen dat deze negen frauduleuze certificaten altijd worden beschouwd als onbetrouwbaar.
Waarom geeft Microsoft een update uit terwijl er geen probleem is in Microsoft-software?
Zelfs als CRL-en OCSP-validatie is ingeschakeld, zijn validatietechnieken niet sterk genoeg om te garanderen dat gebruikers zijn beschermd tegen schadelijk gebruik van deze certificaten. Wanneer de CRL-locatie en OCSP-responder bereikbaar zijn, zijn validatiecontroles uiterst betrouwbaar en doeltreffend.
Als de controle op ingetrokken certificaten echter mislukt door netwerk- of verbindingsproblemen, is het mogelijk dat browsers en andere clienttoepassingen, waaronder Internet Explorer, deze fouten negeren en het certificaat als betrouwbaar beschouwen omdat het tegendeel niet is aangetoond. In deze scenario's kunnen klanten worden getroffen.
Wat doet de update?
De update voor ondersteunde releases van Microsoft Windows lost het probleem op door de negen frauduleuze certificaten in het lokale Microsoft Windows-archief met niet-vertrouwde certificaten te plaatsen. De updates voor Windows Mobile 6.x- en Windows Phone 7-apparaten lossen het probleem op door de negen frauduleuze certificaten in het lokale archief met onbetrouwbare certificaten op het apparaat op te slaan. De updates voor Microsoft Kin- en Zune-apparaten zijn nog niet beschikbaar.
Hoe weet ik of ik te maken heb met een ongeldig certificaat?
Wanneer Internet Explorer een ongeldig certificaat tegenkomt, wordt een webpagina weergegeven met het bericht 'Er is een probleem met het beveiligingscertificaat van deze website'. Wanneer deze waarschuwing wordt weergegeven, worden gebruikers geadviseerd om de webpagina te sluiten en weg te gaan van de website.
Dit bericht wordt alleen weergegeven als is vastgesteld dat het certificaat ongeldig is, bijvoorbeeld wanneer de gebruiker CRL- (Certificate Revocation List) of OCSP-validatie (Online Certificate Status Protocol) heeft ingeschakeld. OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.
Hoe kan ik de certificaten in de map Niet-vertrouwde certificaten verifiëren nadat ik de update heb toegepast?
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.
In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:
Certificaat | Uitgegeven door | Serienummer |
---|---|---|
addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
“Global Trustee” | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
login.live.com | UTN-USERFirst-Hardware | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
login.yahoo.com | UTN-USERFirst-Hardware | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
login.yahoo.com | UTN-USERFirst-Hardware | 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71 |
mail.google.com | UTN-USERFirst-Hardware | 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e |
www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
De update installeren
Er is een update verkrijgbaar om dit probleem te verhelpen.
-
Voor ondersteunde releases van Microsoft Windows
De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat deze update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.
Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.
De update is ook verkrijgbaar via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor downloadkoppelingen.
-
Voor Windows Phone 7-apparaten
Op het moment van de release was de update niet beschikbaar voor alle Windows Phone 7-klanten. In plaats daarvan ontvangen klanten een melding op hun apparaat zodra de update beschikbaar is voor hun telefoon. Voor meer informatie over de installatie van update moeten Windows Phone 7-klanten hun telefoon aansluiten op een computer, en de Zune PC-client of Windows Phone 7 Connector (voor Mac) gebruiken om het updateproces te voltooien. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over de update.
Om de Zune PC-client bij te werken, kunnen klanten Automatische updates configureren om met de service Microsoft Update online te controleren op updates van Microsoft Update. Klanten die Automatische updates hebben ingeschakeld en hebben geconfigureerd om online op updates te controleren bij Microsoft Update, hoeven doorgaans geen actie te ondernemen om hun Zune-software bij te werken omdat deze update automatisch zal worden gedownload en geïnstalleerd.
-
Voor Windows Mobile 6.x-apparaten
De beveiligingsupdate kan worden gedownload via het Microsoft Downloadcentrum. Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over de update, inclusief downloadkoppelingen.
Extra voorgestelde acties
-
Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort
Zie Microsoft Knowledge Base-artikel 2524375 voor meer informatie over dit probleem.
-
Beveilig uw pc
Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden en installeren van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.
Voor meer informatie over veilig surfen verwijzen wij u naar de website van het beveiligingscentrum van Microsoft.
-
Zorg dat Microsoft-software bijgewerkt is
Gebruikers die Microsoft-software gebruiken, wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Microsoft Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Indien u Automatische updates hebt ingeschakeld en zo hebt geconfigureerd dat updates voor Microsoft-producten worden verstrekt, ontvangt u de updates zodra ze zijn uitgegeven. U moet wel controleren of ze zijn geïnstalleerd.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.
Feedback
- U kunt feedback geven door het formulier van Microsoft Help en ondersteuning Klantenservice/Contact opnemen in te vullen.
Ondersteuning
- Technische ondersteuning van Security Support is beschikbaar via 020-500 1005. Zie Hulp en ondersteuning van Microsoft voor meer informatie over de beschikbare ondersteuningsopties.
- Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuning.
- Microsoft TechNet Security biedt extra informatie over beveiliging in Microsoft-producten.
Uitsluiting van aansprakelijkheid
De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.
Revisies
- V1.0 (23 maart 2011): Advies gepubliceerd.
- V2.0 (19 april 2011): Windows Mobile 6.x-, Windows Phone 7-, Microsoft Kin- en Zune-apparaten zijn toegevoegd aan software en apparaten waarin dit probleem optreedt.
- V3.0 (3 mei 2011): Aankondiging van de release van een update voor Windows Phone 7-apparaten. De update is op het moment van de release niet voor alle klanten beschikbaar. Zie de veelgestelde vragen in het advies over meer informatie.
- V4.0 (10 mei 2011): Aankondiging van de release van een update voor Windows Mobile 6.x-apparaten.
Built at 2014-04-18T01:50:00Z-07:00