Советы по безопасности Майкрософт 2982792
Неправильно выданные цифровые сертификаты могут разрешать спуфингов
Опубликовано: 10 июля 2014 г. | Обновлено: 17 июля 2014 г.
Версия: 2.0
Общие сведения
Краткий обзор
Корпорация Майкрософт знает о неправильно выданных SSL-сертификатах, которые могут использоваться при попытках спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника в середине. Ssl-сертификаты были неправильно выданы Национальным центром информационных карт (NIC), который управляет подчиненными ЦС под корневыми центрами сертификации, управляемыми правительством Индии контролером центров сертификации (CCA), которые находятся в хранилище доверенных корневых центров сертификации. Эта проблема влияет на все поддерживаемые выпуски Microsoft Windows. Корпорация Майкрософт в настоящее время не знает об атаках, связанных с этой проблемой.
Подчиненный ЦС был неправильно использован для выдачи SSL-сертификатов для нескольких сайтов, включая веб-свойства Google. Эти SSL-сертификаты можно использовать для подпуфинирования содержимого, выполнения фишинговых атак или атак с помощью злоумышленника в середине веб-свойств. Подчиненные ЦС также могут использоваться для выдачи сертификатов для других, в настоящее время неизвестных сайтов, которые могут быть подвержены аналогичным атакам.
Чтобы защитить клиентов от потенциально мошеннического использования этого цифрового сертификата, корпорация Майкрософт обновляет список доверия сертификатов (CTL) для всех поддерживаемых выпусков Microsoft Windows, чтобы удалить доверие сертификатов, вызывающих эту проблему. Дополнительные сведения об этих сертификатах см. в разделе " Часто задаваемые вопросы " этого рекомендации.
Рекомендация. Автоматическое обновление отозванных сертификатов включается в поддерживаемые выпуски Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 и Windows Server 2012 R2, а также для устройств под управлением Windows Телефон 8 или Windows Телефон 8.1. Для этих операционных систем или устройств клиенты не должны предпринимать никаких действий, так как CTL будет обновляться автоматически.
Для систем под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2, использующих автоматическое обновление отозванных сертификатов (дополнительные сведения см. в статье базы знаний Майкрософт 2677070 ), клиентам не нужно предпринимать никаких действий, так как CTL будет обновляться автоматически.
Для систем под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2, и не установлено автоматическое обновление отозванных сертификатов, это обновление недоступно. Чтобы получить это обновление, клиенты должны установить автоматический модуль обновления отозванных сертификатов (дополнительные сведения см . в статье базы знаний Майкрософт 2677070 ). Клиенты в отключенных средах и работающие под управлением Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 могут устанавливать обновления 2813430 для получения этого обновления (дополнительные сведения см . в статье базы знаний Майкрософт 2813430 ).
Для клиентов под управлением Windows Server 2003 корпорация Майкрософт рекомендует немедленно применять обновление 2982792 с помощью программного обеспечения управления обновлениями, проверка для обновлений с помощью службы центра обновления Майкрософт или путем скачивания и применения обновления вручную. Дополнительные сведения см. в разделе "Предлагаемые действия " этого рекомендации.
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2982792 |
Затронутого программного обеспечения
В этом руководстве рассматривается следующее программное обеспечение.
| Затронутого программного обеспечения |
|---|
| Операционная система |
| Windows Server 2003 с пакетом обновления 2 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium |
| Windows Vista с пакетом обновления 2 (SP2) |
| Windows Vista x64 Edition с пакетом обновления 2 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) |
| Windows 8 для 32-разрядных систем |
| Windows 8 для систем на основе x64 |
| Windows 8.1 для 32-разрядных систем |
| Windows 8.1 для систем на основе x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Вариант установки основных серверных компонентов |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) |
| Windows Server 2008 R2 для систем на основе x64 (установка основных серверных компонентов) |
| Windows Server 2012 (установка основных серверных компонентов) |
| Windows Server 2012 R2 (установка основных серверных компонентов) |
| Затронутые устройства |
| Windows Phone 8 |
| Windows Phone 8.1 |
Вопросы и ответы о рекомендациях
Почему эта рекомендация была обновлена 17 июля 2014 г.?
Рекомендации были обновлены 17 июля 2014 года, чтобы сообщить о доступности обновлений 2982792 для поддерживаемых выпусков Windows Server 2003. Дополнительные сведения см. в разделе "Предлагаемые действия " этого рекомендации.
Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что Национальный центр информационных карт (NIC) неправильно выдавали SSL-сертификаты для нескольких сайтов, включая веб-свойства Google. Эти SSL-сертификаты можно использовать для подпуфинирования содержимого, выполнения фишинговых атак или атак с помощью злоумышленника в середине веб-свойств. Подчиненный ЦС также использовался для выдачи сертификатов для других неизвестных сайтов, которые могут быть подвержены аналогичным атакам.
Что вызвало проблему?
Подчиненный сертификат ЦС был неправильно выдан Национальным центром информационных карт (NIC), подчиненным правительству Индии ЦС, который является ЦС, присутствующих в хранилище доверенных корневых центров сертификации.
Адресует ли это обновление любые другие цифровые сертификаты?
Да, помимо обращения к сертификатам, описанным в этом совете, это обновление является накопительным и включает цифровые сертификаты, описанные в предыдущих рекомендациях:
- Советы по безопасности Майкрософт 2524375
- Советы по безопасности Майкрософт 2607712
- Советы по безопасности Майкрософт 2641690
- Советы по безопасности Майкрософт 2718704
- Советы по безопасности Майкрософт 2728973
- Советы по безопасности Майкрософт 2798897
- Советы по безопасности Майкрософт 2961552
Что такое криптография?
Криптография — это наука о защите информации путем преобразования ее между нормальным, читаемым состоянием (называемым открытым текстом) и тем, в котором данные скрыты (известный как шифр).
Во всех формах криптографии значение, известное как ключ, используется в сочетании с процедурой, называемой алгоритмом шифрования для преобразования данных обычного текста в зашифрованный текст. В наиболее знакомом типе криптографии криптография секрета с ключом шифр преобразуется обратно в открытый текст с помощью того же ключа. Однако во втором типе криптографии с открытым ключом используется другой ключ для преобразования зашифрованного текста обратно в открытый текст.
Что такое цифровой сертификат?
В криптографии с открытым ключом один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это фрагмент данных, который упаковает открытый ключ вместе с информацией о нем (кто владеет им, что можно использовать, когда срок действия и т. д.).
Для чего используются сертификаты?
Сертификаты используются в основном для проверки удостоверения человека или устройства, проверки подлинности службы или шифрования файлов. Как правило, вам не придется думать о сертификатах вообще. Однако может появиться сообщение о том, что срок действия сертификата истек или недопустим. В этих случаях следует следовать инструкциям в сообщении.
Что такое центр сертификации (ЦС)?
Центры сертификации — это организации, которые выдают сертификаты. Они устанавливают и проверяют подлинность открытых ключей, принадлежащих людям или другим центрам сертификации, и проверяют удостоверение человека или организации, запрашивающего сертификат.
Что такое список доверия сертификатов (CTL)?
Доверие должно существовать между получателем подписанного сообщения и подписывателем сообщения. Одним из способов установления доверия является сертификат, электронный документ, проверяющий, что сущности или лица, которые они утверждают. Сертификат выдан сущности стороной, доверенной обеими сторонами. Таким образом, каждый получатель подписанного сообщения решает, является ли издатель сертификата подписи надежным. CryptoAPI реализовал методологию, которая позволяет разработчикам приложений создавать приложения, которые автоматически проверяют сертификаты в предопределенном списке доверенных сертификатов или корней. Этот список доверенных сущностей (называемых субъектами) называется списком доверия сертификатов (CTL). Дополнительные сведения см. в статье MSDN по проверке доверия сертификатов.
Что может сделать злоумышленник с этими сертификатами?
Злоумышленник может использовать эти сертификаты для спуфинго содержимого, фишинговых атак или атак с помощью злоумышленника на следующие веб-свойства:
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.
Что делает корпорация Майкрософт для решения этой проблемы?
Хотя эта проблема не приводит к проблеме в любом продукте Майкрософт, мы тем не менее обновляем CTL и предоставляем обновление для защиты клиентов. Корпорация Майкрософт продолжит исследовать эту проблему и может внести будущие изменения в CTL или выпуск будущего обновления, чтобы помочь защитить клиентов.
После применения обновления можно проверить сертификаты в Хранилище сертификатов Майкрософт, ненадежных?
Для Windows Vista Системы Windows 7, Windows Server 2008 и Windows Server 2008 R2, использующие автоматическое обновление отозванных сертификатов (см. статью базы знаний Майкрософт 2677070 подробные сведения), а также для Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 И Windows Server 2012 R2 можно проверка журнал приложения в Просмотр событий для записи со следующими значениями:
- Источник: CAPI2
- Уровень: Сведения
- Идентификатор события: 4112
- Описание: успешное автоматическое обновление списка запрещенных сертификатов с действующей датой: четверг, 3 июля 2014 г. (или более поздней версии).
Для систем, не использующих автоматическое обновление отозванных сертификатов, в оснастке MMC certificates убедитесь, что следующий сертификат добавлен в папку недоверенных сертификатов :
| Certificate | Выдано | Отпечаток |
|---|---|---|
| Центр сертификации сетевых карт | CCA Индия 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| Сетевой адаптер CA 2011 | CCA Индия 2011 | c6 79 64 90 cd ee aa b3 ed 79 87 52 ec d0 03 e6 86 6c b2 |
| Сетевой адаптер CA 2014 | CCA Индия 2014 | d2 db f7 18 23 b2 b2 b8 e7 8f 59 58 09 61 bf cb 97 cc 38 8a |
Примечание. Сведения о просмотре сертификатов с помощью оснастки MMC см. в статье MSDN: Просмотр сертификатов с помощью оснастки MMC.
Предлагаемые действия
Применение обновления для поддерживаемых выпусков Microsoft Windows
Автоматическое обновление отозванных сертификатов включается в поддерживаемые выпуски Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 и Windows Server 2012 R2, а также для устройств под управлением Windows Телефон 8 или Windows Телефон 8.1. Для этих операционных систем или устройств клиенты не должны предпринимать никаких действий, так как CTL будет обновляться автоматически.
Для систем под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2, использующих автоматическое обновление отозванных сертификатов (дополнительные сведения см. в статье базы знаний Майкрософт 2677070 ), клиентам не нужно предпринимать никаких действий, так как CTL будет обновляться автоматически.
Для систем под управлением Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2, и не установлено автоматическое обновление отозванных сертификатов, это обновление недоступно. Чтобы получить это обновление, клиенты должны установить автоматический модуль обновления отозванных сертификатов (дополнительные сведения см . в статье базы знаний Майкрософт 2677070 ). Клиенты в отключенных средах и работающие под управлением Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 могут устанавливать обновления 2813430 для получения этого обновления (дополнительные сведения см . в статье базы знаний Майкрософт 2813430 ).
Для клиентов под управлением Windows Server 2003 корпорация Майкрософт рекомендует немедленно применять обновление 2982792 с помощью программного обеспечения управления обновлениями, проверка для обновлений с помощью службы центра обновления Майкрософт или путем скачивания и применения обновления вручную. Ссылки на скачивание см . в статье базы знаний Майкрософт 2982792 .
Дополнительные предлагаемые действия
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
- Адам Лэнгли и google Chrome Security Team для привлечения инцидента к нашему внимания и работы с нами по ответу
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (10 июля 2014 г.): рекомендации, опубликованные.
- Версия 2.0 (17 июля 2014 г.): советы о доступности обновлений 2982792 для поддерживаемых выпусков Windows Server 2003. Дополнительные сведения см. в разделе "Предлагаемые действия " этого рекомендации.
Страница создана 2014-07-31 13:34Z-07:00.