Exporteren (0) Afdrukken
Alles uitvouwen
Collapse the table of content
Expand the table of content
Expand Minimize

Microsoft-beveiligingsadvies 2718704

Niet-geautoriseerde digitale certificaten kunnen leiden tot vervalsing (spoofing)

Gepubliceerd: zondag 3 juni 2012 | Bijgewerkt: woensdag 13 juni 2012

Versie: 1.1

Algemene informatie

Samenvatting

Microsoft is zich bewust van actieve aanvallen met niet-geautoriseerde digitale certificaten die van een Microsoft-certificeringsinstantie zijn afgeleid. Een niet-geautoriseerd certificaat kan worden gebruikt om content te vervalsen (spoofen) en om phishing-aanvallen of man-in-the-middle-aanvallen uit te voeren. Dit probleem treft alle ondersteunde releases van Microsoft Windows.

Microsoft verstrekt een update voor alle ondersteunde releases van Microsoft Windows. De update trekt het vertrouwen in de volgende tussenliggende CA-certificaten in:

  • Microsoft Enforced Licensing Intermediate PCA (2 certificaten)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Aanbeveling. Voor ondersteunde releases van Microsoft Windows raadt Microsoft klanten aan om de update onmiddellijk toe te passen met updatebeheersoftware of door met de service Microsoft Update op updates te controleren. Raadpleeg het onderdeel Voorgestelde acties in dit beveiligingsadvies.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
In het Microsoft Knowledge Base-artikel 2718704

Software en apparaten waarin dit probleem optreedt

Dit advies betreft de volgende getroffen software en apparaten.

Software waarin dit probleem optreedt
Besturingssysteem
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Itanium-systemen Service Pack 2
Windows 7 voor 32-bits systemen
Windows 7 voor 32-bits systemen Service Pack 1
Windows 7 voor x64-systemen
Windows 7 voor x64-systemen Service Pack 1
Windows Server 2008 R2 voor x64-systemen
Windows Server 2008 R2 voor x64-systemen Service Pack 1
Windows Server 2008 R2 voor Itanium-systemen
Windows Server 2008 R2 voor Itanium-systemen Service Pack 1
Server Core-installatieoptie
Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie)

Apparaten waarop het probleem niet optreedt
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Waarom dit advies herzien op 13 juni 2012 ?
Microsoft heeft dit advies herzien om klanten te informeren dat Microsoft na verder onderzoek heeft geconstateerd dat Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten niet door het probleem worden getroffen.

Wat is de omvang van het advies?
Dit advies is bedoeld om klanten te informeren dat Microsoft heeft bevestigd dat twee niet-geautoriseerde certificaten door Microsoft zijn uitgegeven en in actieve aanvallen worden gebruikt. Tijdens ons onderzoek is een derde certificeringsinstantie gevonden die certificaten met zwakke codering heeft uitgegeven.

Microsoft heeft een update gepubliceerd voor alle ondersteunde versies van Microsoft Windows waarmee het probleem wordt opgelost.

Heeft deze update betrekking op andere niet-geautoriseerde digitale certificaten ?
Ja, deze update heeft niet alleen betrekking op de drie niet-geautoriseerde certificaten die in dit advies worden beschreven, maar is tevens cumulatief en heeft ook betrekking op niet-geautoriseerde digitale certificaten op die in vorige adviezen zijn beschreven: Microsoft-beveiligingsadvies 2524375, Microsoft-beveiligingsadvies 2607712 en Microsoft-beveiligingsadvies 2641690.

Wordt Windows 8 Consumer Preview getroffen door het probleem dat wordt opgelost in dit advies ?
Ja. De update is beschikbaar voor de Windows 8 Consumer Preview. Klanten met Windows 8 Consumer Preview worden aangeraden de updates toe te passen op hun systemen. De updates zijn alleen beschikbaar via Windows Update.

Wordt Windows 8 Release Preview getroffen door het probleem dat wordt opgelost in dit advies ?
Ja. De update is beschikbaar voor Windows 8 Release Preview. Klanten met Windows 8 Release Preview wordt aangeraden om de updates toe te passen op hun systemen. De updates zijn alleen beschikbaar via Windows Update.

Wat is cryptografie?
Cryptografie is de wetenschap van het beveiligen van informatie door deze te converteren van de normale, leesbare toestand (plaintext) naar een toestand waarin de gegevens zijn verborgen (ciphertext).

In alle vormen van cryptografie wordt een waarde, een zogenaamde sleutel, in combinatie met een procedure, een cryptoalgoritme, gebruikt om plaintext om te zetten in ciphertext. In de meest bekende vorm van cryptografie, cryptografie met geheime sleutel, wordt de ciphertext met dezelfde sleutel weer teruggezet in plaintext. In een tweede vorm van cryptografie, cryptografie met openbare sleutel, wordt een andere sleutel gebruikt om de ciphertext weer terug te zetten in plaintext.

Wat is een digitaal certificaat?
Bij cryptografie met openbare sleutel moet een van de sleutels, de persoonlijke sleutel, geheim worden gehouden. De andere sleutel, de openbare sleutel, is bedoeld om openbaar gemaakt te worden. Er moet echter een manier zijn waarop de eigenaar van de sleutel bekend kan maken van wie de sleutel is. Dit gebeurt met digitale certificaten. Een digitaal certificaat is een beveiligd bestand dat een openbare sleutel plus informatie over deze sleutel bevat: wie de eigenaar van de sleutel is, waarvoor de sleutel kan worden gebruikt, wanneer deze verloopt, enzovoort.

Waarvoor worden certificaten gebruikt?
Certificaten worden hoofdzakelijk gebruikt om de identiteit te controleren van een persoon of apparaat, een service te verifiëren of bestanden te coderen. Normaal gesproken hoeft u zich niet met certificaten bezig te houden. Het is echter mogelijk dat u af en toe het bericht ziet dat een certificaat is verlopen of ongeldig is. In die gevallen moet u de instructies in het bericht volgen.

Wat is een certificeringsinstantie?
Certificeringsinstanties zijn de organisaties die certificaten uitbrengen. Zij bevestigen en verifiëren de echtheid van openbare sleutels die het eigendom zijn van mensen of andere certificeringsinstanties, en controleren de identiteit van een persoon of organisatie die om een certificaat vraagt.

Wat is een certificaatvertrouwenslijst?
Er moet vertrouwen bestaan tussen de ontvanger van een ondertekend bericht en degene die het bericht heeft ondertekend. Dit vertrouwen kan tot stand worden gebracht met behulp van een certificaat. Dit is een elektronisch document dat controleert of entiteiten of personen wel zijn wie ze beweren te zijn. Een entiteit stuurt een certificaat naar een externe partij die door zowel de entiteit als de ontvanger wordt vertrouwd. Op die manier beslist elke ontvanger van een ondertekend bericht of degene die het certificaat uitgeeft, betrouwbaar is. CryptoAPI heeft een methodologie geïmplementeerd waarmee ontwikkelaars van toepassingen programma's kunnen maken waarmee certificaten automatisch kunnen worden vergeleken met een vooraf opgestelde lijst met betrouwbare certificaten of bronnen. Deze lijst met vertrouwde entiteiten wordt een certificaatvertrouwenslijst genoemd. Zie het MSDN-artikel Certificate Trust Verification voor meer informatie.

Wat heeft het probleem veroorzaakt?
Microsoft is zich bewust van actieve aanvallen met niet-geautoriseerde digitale certificaten die van een Microsoft-certificeringsinstantie zijn afgeleid. Een niet-geautoriseerd certificaat kan worden gebruikt om content te vervalsen (spoofen) en om phishing-aanvallen of man-in-the-middle-aanvallen uit te voeren. Dit probleem treft alle ondersteunde releases van Microsoft Windows.

Met welk doel kan een aanvaller het probleem misbruiken?
Een aanvaller kan misbruik maken van deze certificaten om content te vervalsen (spoofen) en om phishing-aanvallen of man-in-the-middle-aanvallen uit te voeren.

Wat is een MITM-aanval (man-in-the-middle)?
Een MITM-aanval vindt plaats wanneer een aanvaller communicatie tussen twee gebruikers omleidt via de computer van de aanvaller zonder dat de twee communicatiegebruikers dit weten. Elke gebruiker in de communicatie stuurt - onbewust van dit feit - verkeer naar de aanvaller en ontvangt verkeer van de aanvaller, in de overtuiging dat hij alleen met de bedoelde gebruiker communiceert.

Wat doet Microsoft om te helpen bij de oplossing van dit probleem?
Wij hebben het archief met onbetrouwbare certificaten bijgewerkt om het vertrouwen in de getroffen Microsoft-certificeringsinstanties te verwijderen.

Hoe kan ik de certificaten in het Microsoft-archief met onbetrouwbare certificaten verifiëren nadat ik de update heb toegepast?
Voor informatie over hoe u certificaten bekijkt, raadpleegt u het MSDN-artikel Procedure: Module Certificaten voor MMS.

In de Module Certificaten voor MMS controleert u of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde Certificaten:

CertificaatUitgegeven doorThumbprint
Microsoft Enforced Licensing Intermediate PCAMicrosoft Root Authority2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Microsoft Enforced Licensing Intermediate PCAMicrosoft Root Authority3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1)Microsoft Root Certificate Authorityfa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

Voor ondersteunde versies van Microsoft Windows

De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat de KB2718704-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfsinstallaties of eindgebruikers die de KB2718704-update handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update. Zie Microsoft Knowledge Base-artikel 2718704 voor meer informatie over het handmatig toepassen van de update.

Extra voorgestelde acties

  • Beveilig uw pc

    Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden en installeren van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.

    Voor meer informatie over veilig surfen verwijzen wij u naar de website van het beveiligingscentrum van Microsoft.

  • Zorg dat Microsoft-software bijgewerkt is

    Gebruikers die Microsoft-software gebruiken, wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Microsoft Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Indien u Automatische updates hebt ingeschakeld en zo hebt geconfigureerd dat updates voor Microsoft-producten worden verstrekt, ontvangt u de updates zodra ze zijn uitgegeven. U moet wel controleren of ze zijn geïnstalleerd.

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voor zover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (3 juni 2012): Advies gepubliceerd.
  • V1.1 (13 juni 2012): Advies is herzien om klanten te informeren dat Windows Mobile 6.x-, Windows Phone 7- en Windows Phone 7.5-apparaten niet worden getroffen door het probleem.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft