Microsoft 安全咨询3050995
颁发不当的数字证书可能允许欺骗
发布时间: 2015 年 3 月 24 日 |更新时间:2015 年 3 月 26 日
版本: 2.0
执行摘要
Microsoft 知道从下属 CA、MCS Holdings 中不当颁发的数字证书,这些证书可用于欺骗内容、执行网络钓鱼攻击或执行中间人攻击。 未正确颁发的证书不能用于颁发其他证书、模拟其他域或签名代码。 此问题会影响 Microsoft Windows 的所有受支持版本。
为了帮助保护客户免受这些不当颁发的证书的潜在欺诈性使用,Microsoft 正在更新证书信任列表(CTL),以删除从属 CA 证书的信任。 受信任的根证书颁发机构中国互联网网络信息中心(CNNIC)也吊销了从属 CA 的证书。 有关这些证书的详细信息,请参阅 此公告的常见问题解答 部分。
建议。 有关为 Microsoft Windows 的特定版本应用更新的说明,请参阅此公告的“建议操作”部分。
咨询详细信息
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 3050995 |
受影响的软件
此公告讨论以下软件。
| 操作系统 |
|---|
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于 32 位系统的 Windows 8 |
| 基于 x64 的系统 Windows 8 |
| Windows Server 2012 |
| Windows RT |
| 适用于 32 位系统的 Windows 8.1 |
| 基于 x64 的系统版 Windows 8.1 |
| Windows Server 2012 R2 |
| Windows RT 8.1 |
| 服务器核心安装选项 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
| Windows Server 2012 (服务器核心安装) |
| Windows Server 2012 R2 (服务器核心安装) |
| 受影响的设备 |
| Windows Phone 8 |
| Windows Phone 8.1 |
咨询常见问题解答
公告的范围是什么?
此公告的目的是通知客户 MCS 控股公司为多个网站(包括 Google Web 属性)错误地颁发 SSL 证书。 这些 SSL 证书可用于欺骗内容、执行网络钓鱼攻击,或针对 Web 属性执行中间人攻击。 从属 CA 可能还用于颁发其他当前未知站点的证书,这些站点可能受到类似的攻击。
导致此问题的原因是什么?
此问题是由 MCS Holdings(从属 CA)错误地向所有者以外的实体颁发域证书引起的。 MCS 控股机构隶属于中国互联网网络信息中心(CNNIC),这是受信任的根证书颁发机构存储中的 CA。
此更新是否解决了任何其他数字证书?
是的,除了解决此公告中所述的证书外,此更新是累积的,包括前面公告中所述的数字证书:
- Microsoft 安全咨询3046310
- Microsoft 安全咨询2982792
- Microsoft 安全咨询2916652
- Microsoft 安全咨询2798897
- Microsoft 安全咨询2728973
- Microsoft 安全咨询2718704
- Microsoft 安全咨询2641690
- Microsoft 安全咨询2607712
- Microsoft 安全咨询2524375
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书?
在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其相关信息(谁拥有它、其用途、到期时间等)。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)?
证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)?
签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
攻击者可能会对这些证书执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击,或针对以下 Web 属性执行中间人攻击:
- *.google.com
- *.google.com.eg
- *.g.doubleclick.net
- *.gstatic.com
- www.google.com
- www.gmail.com
- *。googleapis。com
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
Microsoft 在解决此问题时有什么帮助?
尽管此问题并非由任何 Microsoft 产品中的问题导致,但我们仍在更新 CTL 并提供更新来帮助保护客户。 Microsoft 将继续调查此问题,并可能会对 CTL 进行将来的更改,或发布将来的更新以帮助保护客户。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
对于 Windows Vista、Windows 7、Windows Server 2008、 和使用已吊销证书自动更新器的 Windows Server 2008 R2 系统(有关详细信息,请参阅 Microsoft 知识库文章2677070),以及 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 系统,可以在事件查看器中检查应用程序日志,以获取具有以下值的条目:
- 来源:CAPI2
- 级别:信息
- 事件 ID:4112
- 说明:成功自动更新无效证书列表,生效日期:2015 年 3 月 23 日星期一(或更高版本)。
对于未使用已吊销证书的自动更新程序的系统,在 “证书 MMC 管理单元”中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| Certificate | 颁发者 | 指纹 |
|---|---|---|
| MCSHOLDING 测试 | CNNIC 根 | e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76 |
注意 有关如何使用 MMC 管理单元查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
建议的操作
为受支持的 Microsoft Windows 版本应用更新
吊销证书的自动更新程序包含在 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的支持版本中,以及运行 Windows 电话 8 和 Windows 电话 8.1 的设备。 对于这些操作系统或设备,客户无需采取任何操作,因为 CTL 将自动更新。
对于运行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的系统(使用吊销证书的自动更新程序(有关详细信息,请参阅 Microsoft 知识库文章2677070 ),客户无需采取任何操作,因为这些系统将自动受到保护。
对于运行 Windows Server 2003 的客户,Microsoft 建议使用更新管理软件立即应用3050995更新、使用 Microsoft 更新服务检查更新,或者手动下载和应用更新(有关详细信息,请参阅 Microsoft 知识库文章3050995)。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 3 月 24 日):已发布公告。
- V2.0(2015 年 3 月 26 日):已重新发布公告,宣布 Windows Server 2003 支持的版本的更新现已推出。 有关详细信息和下载链接,请参阅 Microsoft 知识库文章3050995 。
页面生成的 2015-03-26 10:03Z-07:00。