Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 2641690

Frauduleuze digitale certificaten kunnen leiden tot vervalsing (spoofing)

Gepubliceerd: donderdag 10 november 2011 | Bijgewerkt: donderdag 19 januari 2012

Versie: 3.0

Algemene informatie

Samenvatting

Microsoft is ervan op de hoogte dat DigiCert Sdn. Bhd, een Maleisische certificeringsinstantie onder Entrust en GTE CyberTrust, 22 certificaten met zwakke 512-bits sleutels heeft uitgebracht. Wanneer deze zwakke coderingssleutels worden gekraakt, kan een aanvaller de certificaten gebruiken om content te vervalsen (spoofen), phishing-aanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren tegen alle webbrowsergebruikers, inclusief gebruikers van Internet Explorer. Hoewel dit probleem geen beveiligingslek in een Microsoft-product is, treft dit probleem wel alle ondersteunde versies van Microsoft Windows.

DigiCert Sdn. Bhd is niet gelieerd aan het bedrijf DigiCert, Inc. een lid van het Microsoft Root Certificate Program (Microsoft Basiscertificaatprogramma).

Er zijn geen aanwijzingen dat certificaten frauduleus zijn uitgebracht. In plaats daarvan kunnen door cryptografisch zwakke sleutels bepaalde certificaten worden gedupliceerd en op frauduleuze wijze gebruikt.

Microsoft publiceert een update voor alle ondersteunde releases van Microsoft Windows die het vertrouwen in DigiCert Sdn. Bhd. intrekt. De update trekt het vertrouwen in de certificaten van de volgende twee tussenliggende certificeringsinstanties in:

  • Digisign Server ID – (Enrich), gepubliceerd door Entrust.net Certification Authority (2048)
  • Digisign Server ID (Enrich), gepubliceerd door GTE CyberTrust Global Root

Aanbeveling. Microsoft raadt klanten aan deze beveiligingsupdate onmiddellijk toe te passen met updatebeheersoftware of door op updates te controleren met de service Microsoft Update. Raadpleeg de sectie met voorgestelde acties van dit advies voor meer informatie.

Bekende problemen. In Microsoft Knowledge Base-artikel 2641690 worden bekende problemen beschreven die klanten mogelijk ondervinden bij de installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
In het Microsoft Knowledge Base-artikel 2641690

Software en apparaten waarin dit probleem optreedt

Dit advies betreft de volgende software en apparaten.

Software waarin dit probleem optreedt
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen Service Pack 2*
Windows Server 2008 voor x64-systemen Service Pack 2*
Windows Server 2008 voor Itanium-systemen Service Pack 2
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1*
Windows Server 2008 R2 voor Itanium-systemen en Windows Server 2008 R2 voor Itanium-systemen met Service Pack 1

*Treedt op bij Server Core-installatie. Dit beveiligingslek is van toepassing op ondersteunde edities van Windows Server 2008 en Windows Server 2008 R2, zoals is aangegeven, ongeacht of deze zijn geïnstalleerd met de Server Core-installatieoptie. Zie de TechNet-artikelen Managing a Server Core Installation en Servicing a Server Core Installation voor meer informatie over deze installatieoptie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2. Zie hiervoor Server Core-installatieopties vergelijken.

Getroffen apparaten
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Waarom is dit advies gewijzigd op 19 januari 2012 ?
Microsoft heeft dit advies herzien om de release aan te kondigen van een update voor Windows Mobile 6.x-, Windows Phone Windows 7- en Windows Phone 7.5-apparaten. Raadpleeg Microsoft Knowledge Base-artikel 2641690 voor meer informatie.

Waarom zijn er op 16 november 2011 wijzigingen in dit advies aangebracht ?
Microsoft heeft wijzigingen in dit advies aangebracht om aan te kondigen dat de KB2641690-update voor Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 opnieuw wordt uitgegeven. Met de opnieuw uitgegeven update wordt een probleem opgelost dat optreedt bij gebruikers van Windows Server Update Services (WSUS), waarbij de toepasselijkheid van de update niet goed werd gedetecteerd.

Klanten van Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 moeten de opnieuw uitgegeven versie van de KB2641690-update toepassen om zich te beschermen tegen het gebruik van frauduleuze certificaten zoals beschreven in dit advies. Klanten van Windows XP Service Pack 3 en ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 hoeven deze opnieuw uitgegeven versie niet toe te passen.

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de opnieuw uitgegeven KB2641690-update automatisch wordt gedownload en geïnstalleerd.

Wat is de omvang van het advies?
Het doel van dit advies is klanten te informeren over het feit dat DigiCert Sdn. Bhd 22 certificaten met zwakke 512-bits sleutels heeft uitgebracht. Door deze zwakke sleutels vormen sommige certificaten zwakke plekken. Microsoft heeft het vertrouwen in deze ondergeschikte certificeringsinstantie ingetrokken met een update die twee certificaten van deze certificeringsinstantie naar het Microsoft-archief met onbetrouwbare certificaten verplaatst.

Wat heeft het probleem veroorzaakt?
Microsoft werd door Entrust, een certificeringsinstantie in het Microsoft Root Certificate Program (Microsoft Basiscertificaatprogramma) op de hoogte gebracht van het feit dat één van hun ondergeschikte certificieringsinstanties, DigiCert Sdn. Bhd 22 certificaten met zwakke 512-bits sleutels had uitgebracht. Daarnaast heeft deze ondergeschikte certificeringsinstantie certificaten uitgebracht zonder de juiste gebruiksextensie of intrekkkingsinformatie. Dit is een overtreding van de regels van het Microsoft Root Certificate Program.

Er zijn geen aanwijzingen dat certificaten frauduleus zijn uitgebracht. In plaats daarvan kunnen door cryptografisch zwakke sleutels bepaalde certificaten worden gedupliceerd en op frauduleuze wijze gebruikt. Entrust en GTE CyberTrust hebben de certificaten van DigiCert Sdn. Bhd ingetrokken. Microsoft biedt een update die het vertrouwen in deze twee certificaten intrekt om klanten nog beter te beschermen.

Hoe kan een aanvaller een certificaat dupliceren?
Een digitale handtekening kan alleen worden gemaakt door de persoon die de persoonlijke sleutel van het certificaat bezit. Een aanvaller kan proberen de persoonlijke sleutel te raden en wiskundige technieken gebruiken om te bepalen of zijn giswerk correct is. De moeilijkheidsgraad van het raden van de persoonlijke sleutel is evenredig aan het aantal bits in de sleutel. Hoe groter de sleutel, hoe langer het duurt voor een aanvaller de persoonlijke sleutel heeft geraden. Met moderne hardware kunnen 512-bits sleutels in korte tijd worden geraden.

Hoe kan een aanvaller frauduleuze certificaten gebruiken?
Een aanvaller kan de 512-bits certificaten gebruiken om inhoud te vervalsen (spoofen), phishing-aanvallen te verrichten of man-in-the-middle-aanvallen te verrichten tegen alle webbrowsergebruikers inclusief gebruikers van Internet Explorer.

Wat doet Microsoft om te helpen bij de oplossing van dit probleem?
Hoewel dit probleem niet wordt veroorzaakt door een probleem met een Microsoft-product, hebben we toch een update gepubliceerd die twee certificaten van Entrust en GTE CyberTrust naar het Microsoft-archief met onbetrouwbare certificaten verplaatst. Microsoft raadt klanten aan de update onmiddellijk toe te passen.

Wat is een MITM-aanval (man-in-the-middle)?
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.

Wat is een certificeringsinstantie?
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat is de procedure voor het intrekken van een certificaat?
Er is een standaardprocedure waarmee een certificeringsinstantie kan voorkomen dat certificaten worden geaccepteerd als ze worden gebruikt. Iedere uitgever van certificaten genereert regelmatig een Certificate Revocation List (CRL), waarop alle certificaten voorkomen die als ongeldig moeten worden beschouwd. Elk certificaat moet een stukje gegevens verstrekken, het CDP (CRL Distribution Point), dat aangeeft waar de CRL kan worden opgehaald.

Webbrowsers kunnen de identiteit van een digitaal certificaat ook valideren met behulp van het OCSP (Online Certificate Status Protocol). OCSP maakt interactieve validatie van een certificaat mogelijk door verbinding te maken met een OCSP-responder, gehost door de certificeringsinstantie die het digitale certificaat heeft ondertekend. Elk certificaat moet via de AIA-extensie (Authority Information Access) in het certificaat een verwijzing bevatten naar de locatie van de OCSP-responder. Bovendien geeft OCSP stapling de webserver de mogelijkheid om zelf een OCSP-validatieantwoord aan de client te verstrekken.

OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en nieuwere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 ingeschakeld. Als de OCSP-validatiecontrole op deze besturingssystemen mislukt, zal de browser het certificaat valideren door contact op te nemen met de CRL-locatie.

Sommige netwerken kunnen online OCSP- of CRL-updates weigeren. Daarom heeft Microsoft een update gepubliceerd voor alle versies van Microsoft Windows die deze certificaten toevoegt aan het Microsoft-archief met onbetrouwbare certificaten. Doordat deze certificaten naar het Microsoft-archief met onbetrouwbare certificaten worden verplaatst, worden deze frauduleuze certificaten in geen enkel netwerkscenario vertrouwd.

Voor meer informatie over de controle op ingetrokken certificaten, raadpleegt u het TechNet-artikel Certificate Revocation and Status Checking.

Hoe weet ik of ik te maken heb met een ongeldig certificaat?
Wanneer Internet Explorer een ongeldig certificaat tegenkomt, wordt een webpagina weergegeven met het bericht 'Er is een probleem met het beveiligingscertificaat van deze website'. Wanneer deze waarschuwing wordt weergegeven, worden gebruikers geadviseerd om de webpagina te sluiten en weg te gaan van de website.

Dit bericht wordt alleen weergegeven als is vastgesteld dat het certificaat ongeldig is, bijvoorbeeld wanneer de gebruiker CRL- (Certificate Revocation List) of OCSP-validatie (Online Certificate Status Protocol) heeft ingeschakeld. OCSP-validatie is standaard ingeschakeld op Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.

Hoe kan ik de certificaten in het Microsoft-archief met onbetrouwbare certificaten verifiëren nadat ik de update heb toegepast?
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.

In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:

CertificaatUitgegeven doorThumbprint
Digisign Server ID - (Enrich)Entrust.net Certification Authority (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global Root‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Voor ondersteunde versies van Microsoft Windows

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de KB2641690-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die de KB2641690-update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update. Zie Microsoft Knowledge Base-artikel 2641690 voor meer informatie over het handmatig toepassen van de update.

Voor Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten

Voor informatie over de update voor Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten raadpleegt u Microsoft Knowledge Base-artikel 2641690.

Extra voorgestelde acties

  • Beveilig uw pc

    Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden en installeren van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.

    Voor meer informatie over veilig surfen verwijzen wij u naar de website van het beveiligingscentrum van Microsoft.

  • Zorg dat Microsoft-software bijgewerkt is

    Gebruikers die Microsoft-software gebruiken, wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Microsoft Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Indien u Automatische updates hebt ingeschakeld en zo hebt geconfigureerd dat updates voor Microsoft-producten worden verstrekt, ontvangt u de updates zodra ze zijn uitgegeven. U moet wel controleren of ze zijn geïnstalleerd.

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (10 november 2011): Advies gepubliceerd.
  • V2.0 (16 november 2011): Herzien om de nieuwe release van de KB2641690-update aan te kondigen. Zie de veelgestelde vragen over de update in dit advies voor meer informatie. Ook is er een koppeling toegevoegd aan Microsoft Knowledge Base-artikel 2641690 onder Bekende problemen in de Samenvatting.
  • V3.0 (19 januari 2012): Herzien om de release aan te kondigen van een update voor Windows Mobile 6.x-, Windows Phone Windows 7- en Windows Phone 7.5-apparaten.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft