Share via

Microsoft Security Advisory 2982792

  • 發行項

未正確發行的數位證書可能會允許詐騙

發佈時間: 2014 年 7 月 10 日 |更新日期:2014 年 7 月 17 日

版本: 2.0

一般資訊

執行摘要

Microsoft 知道不當發行的 SSL 憑證,這些憑證可用於嘗試詐騙內容、執行網路釣魚攻擊,或執行中間人攻擊。 SSL 憑證是由國家資訊中心(NIC)不當簽發的,該中心由印度認證當局(CCA)政府經營的下屬 CA,這些 CA 存在於受信任的跟證書授權單位存放區。 此問題會影響所有支援的 Microsoft Windows 版本。 Microsoft 目前不知道與此問題相關的攻擊。

次級 CA 已誤用為多個網站頒發 SSL 憑證,包括 Google Web 屬性。 這些 SSL 憑證可用來詐騙內容、執行網路釣魚攻擊,或針對 Web 屬性執行中間人攻擊。 次級 CA 可能也被用來為其他目前未知的網站發行憑證,這些網站可能會受到類似的攻擊。

為了協助保護客戶免受此數位證書的潛在詐騙使用,Microsoft 正在更新 Microsoft Windows 所有支援版本的憑證信任清單 (CTL),以移除造成此問題的憑證信任。 如需這些憑證的詳細資訊,請參閱 此諮詢的常見問題 一節。

建議。 撤銷憑證的自動更新程式包含在 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 的支援版本中,以及執行 Windows 電話 8 或 Windows 電話 8.1 的裝置。 針對這些操作系統或裝置,客戶不需要採取任何動作,因為 CTL 會自動更新。

對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用已撤銷憑證自動更新的系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 ),客戶不需要採取任何動作,因為 CTL 會自動更新。

對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的系統,且未安裝已撤銷憑證的自動更新程式,則無法使用此更新。 若要接收此更新,客戶必須安裝已撤銷憑證的自動更新程式(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 )。 在中斷聯機的環境中,以及執行 Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的客戶可以安裝更新2813430以接收此更新(如需詳細資訊,請參閱 Microsoft 知識庫文章2813430 )。

對於執行 Windows Server 2003 的客戶,Microsoft 建議使用更新管理軟體立即套用2982792更新、使用 Microsoft Update 服務檢查更新,或手動下載並套用更新。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。

諮詢詳細數據

問題參考

如需此問題的詳細資訊,請參閱下列參考:

參考 識別
Microsoft 知識庫文章 2982792

受影響的軟體

此諮詢會討論下列軟體。

受影響的軟體
作業系統
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 for Itanium 型系統
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 位系統 Service Pack 2
適用於 x64 型系統的 Windows Server 2008 Service Pack 2
Windows Server 2008 for Itanium 型系統 Service Pack 2
Windows 7 for 32 位系統 Service Pack 1
Windows 7 for x64 型系統 Service Pack 1
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1
Windows 8 for 32 位系統
適用於 x64 型系統的 Windows 8
Windows 8.1 for 32 位系統
適用於 x64 型系統的 Windows 8.1
Windows RT
Windows RT 8.1
Windows Server 2012
Windows Server 2012 R2
Server Core 安裝選項
Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝)
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝)
Windows Server 2012 (Server Core 安裝)
Windows Server 2012 R2 (Server Core 安裝)
受影響的裝置
Windows Phone 8
Windows Phone 8.1

諮詢常見問題

為什麼此諮詢於 2014 年 7 月 17 日更新?
諮詢已於 2014 年 7 月 17 日更新,以宣佈 Windows Server 2003 支援版本的更新2982792可用性。 如需詳細資訊, 請參閱此諮詢的建議動作 一節。

諮詢的範圍為何?
此諮詢的目的是通知客戶,國家資訊中心(NIC)為包括谷歌網頁內容在內的多個網站不當簽發 SSL 憑證。 這些 SSL 憑證可用來詐騙內容、執行網路釣魚攻擊,或針對 Web 屬性執行中間人攻擊。 從屬 CA 可能也可用來發行其他目前未知網站的憑證,可能會受到類似的攻擊。

造成問題的原因為何?
國家資訊中心(NIC)不當簽發的附屬 CA 憑證,隸屬於印度 CA 政府,該 CA 是信任的跟證書授權機構存放區中的 CA。

此更新是否處理任何其他數字證書?
是,除了處理此諮詢中所述的憑證之外,此更新是累積的,而且包含先前諮詢中所述的數字證書:

什麼是密碼編譯?
密碼編譯是保護信息的科學,方法是在正常、可讀取的狀態(稱為純文本)之間轉換資訊,以及其中一種數據被遮蔽(稱為加密文字)。

在所有形式的密碼編譯中,稱為密鑰的值會與稱為密碼編譯演算法的程式搭配使用,將純文本數據轉換成加密文字。 在最熟悉的密碼編譯類型中,密碼密鑰密碼編譯會使用相同的密鑰轉換回純文字。 不過,在第二種類型的密碼編譯中,公鑰加密會使用不同的密鑰,將加密文字轉換回純文字。

什麼是數字證書?
公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是一個防竄改的數據片段,可將公鑰封裝在一起,以及其相關信息(誰擁有、其用途、到期時間等等)。

憑證用途為何?
憑證主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 通常您完全不需要考慮憑證。 不過,您可能會看到一則訊息,告知您憑證已過期或無效。 在這些情況下,您應該遵循訊息中的指示。

什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。

什麼是憑證信任清單 (CTL)?
簽署郵件的收件者與郵件的簽署者之間必須存在信任。 建立此信任的其中一種方法是透過憑證,一份電子文件,確認實體或人員是他們聲稱身分的。 憑證是由其他雙方信任的第三方所簽發給實體。 因此,簽署訊息的每個收件者都會決定簽署者憑證的簽發者是否值得信任。 CryptoAPI 已實作方法,可讓應用程式開發人員建立應用程式,以針對預先定義的受信任憑證或根清單自動驗證憑證。 此信任實體清單(稱為主體)稱為憑證信任清單(CTL)。 如需詳細資訊,請參閱 MSDN 文章 憑證信任驗證

攻擊者可能會使用這些憑證做什麼?
攻擊者可以使用這些憑證來詐騙內容、執行網路釣魚攻擊,或針對下列Web屬性執行中間人攻擊:

  • google.com
  • mail.google.com
  • gmail.com
  • www.gmail.com
  • m.gmail.com
  • smtp.gmail.com
  • pop.gmail.com
  • imap.gmail.com
  • googlemail.com
  • www.googlemail.com
  • smtp.googlemail.com
  • pop.googlemail.com
  • imap.googlemail.com
  • gstatic.com
  • ssl.gstatic.com
  • www.static.com
  • encrypted-tbn1.gstatic.com
  • encrypted-tbn2.gstatic.com
  • login.yahoo.com
  • mail.yahoo.com
  • mail.yahoo-inc.com
  • fb.member.yahoo.com
  • login.korea.yahoo.com
  • api.reg.yahoo.com
  • edit.yahoo.com
  • watchlist.yahoo.com
  • edit.india.yahoo.com
  • edit.korea.yahoo.com
  • edit.europe.yahoo.com
  • edit.singapore.yahoo.com
  • edit.tpe.yahoo.com
  • legalredirect.yahoo.com
  • me.yahoo.com
  • open.login.yahooapis.com
  • subscribe.yahoo.com
  • edit.secure.yahoo.com
  • edit.client.yahoo.com
  • bt.edit.client.yahoo.com
  • verizon.edit.client.yahoo.com
  • na.edit.client.yahoo.com
  • au.api.reg.yahoo.com
  • au.reg.yahoo.com
  • profile.yahoo.com
  • static.profile.yahoo.com
  • openid.yahoo.com

什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。

Microsoft 在協助解決此問題時,該怎麼做?
雖然此問題並非因任何 Microsoft 產品的問題而產生,但我們仍會更新 CTL 並提供更新來協助保護客戶。 Microsoft 會繼續調查此問題,並可能會對 CTL 進行未來的變更,或發行未來的更新,以協助保護客戶。

套用更新之後,如何確認 Microsoft 不受信任的憑證存放區中的憑證?
針對 Windows Vista、Windows 7、 使用撤銷憑證自動更新器的 Windows Server 2008 和 Windows Server 2008 R2 系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070),以及 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 系統,您可以在 事件檢視器 中檢查應用程式記錄檔,以取得具有下列值的專案:

  • 來源:CAPI2
  • 等級:資訊
  • 事件標識碼:4112
  • 描述:成功自動更新有效日期的不允許憑證清單:2014 年 7 月 3 日星期四(或更新版本)。

對於未使用已撤銷憑證自動更新的系統,請在 [憑證] MMC 嵌入式管理單元中,確認下列憑證已新增至 [不受信任的憑證 ] 資料夾:

[MSSQLSERVER 的通訊協定內容] 發行者 指紋
NIC 認證授權單位 CCA 印度 2007 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf
NIC CA 2011 CCA 印度 2011 c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2
NIC CA 2014 CCA 印度 2014 d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

注意 如需如何使用 MMC 嵌入式管理單元檢視憑證的資訊,請參閱 MSDN 文章 :如何:使用 MMC 嵌入式管理單元檢視憑證。

建議的動作

針對支援的 Microsoft Windows 版本套用更新

撤銷憑證的自動更新程式包含在 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 的支援版本中,以及執行 Windows 電話 8 或 Windows 電話 8.1 的裝置。 針對這些操作系統或裝置,客戶不需要採取任何動作,因為 CTL 會自動更新。

對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用已撤銷憑證自動更新的系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 ),客戶不需要採取任何動作,因為 CTL 會自動更新。

對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的系統,且未安裝已撤銷憑證的自動更新程式,則無法使用此更新。 若要接收此更新,客戶必須安裝已撤銷憑證的自動更新程式(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 )。 在中斷聯機的環境中,以及執行 Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的客戶可以安裝更新2813430以接收此更新(如需詳細資訊,請參閱 Microsoft 知識庫文章2813430 )。

對於執行 Windows Server 2003 的客戶,Microsoft 建議使用更新管理軟體立即套用2982792更新、使用 Microsoft Update 服務檢查更新,或手動下載並套用更新。 如需下載連結,請參閱 Microsoft 知識庫文章2982792。

其他建議的動作

  • 保護您的電腦

    我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心

  • 讓 Microsoft 軟體更新保持更新

    執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。

通知

Microsoft 感謝您 與我們合作,協助保護客戶:

其他資訊

Microsoft Active Protections 計劃 (MAPP)

為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴

Feedback

  • 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡以提供意見反應。

支援

免責聲明

本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2014 年 7 月 10 日):已發佈諮詢。
  • V2.0 (2014 年 7 月 17 日):已修訂公告 Windows Server 2003 支援版本的更新2982792可用性。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。

頁面產生的 2014-07-31 13:34Z-07:00。