Microsoft 資訊安全諮詢3050995
未正確發行的數位證書可能會允許詐騙
發佈時間: 2015 年 3 月 24 日 |更新日期:2015年3月26日
版本: 2.0
執行摘要
Microsoft 知道從下屬 CA、MCS 控股公司不當發行的數位證書,這些憑證可用來詐騙內容、執行網路釣魚攻擊,或執行中間人攻擊。 未正確發行的憑證無法用來發行其他憑證、模擬其他網域或簽署程序代碼。 此問題會影響所有支援的 Microsoft Windows 版本。
為了協助保護客戶免於使用這些不當發行憑證的潛在詐騙用途,Microsoft 正在更新憑證信任清單 (CTL),以移除次級 CA 憑證的信任。 受信任的跟證書授權單位,中國互聯網網路資訊中心(CNNIC),也撤銷了下屬 CA 的證書。 如需這些憑證的詳細資訊,請參閱 此諮詢的常見問題 一節。
建議。 如需套用 Microsoft Windows 特定版本的更新的指示,請參閱此諮詢的一節。
諮詢詳細數據
如需此問題的詳細資訊,請參閱下列參考:
參考 | 識別 |
---|---|
Microsoft 知識庫文章 | 3050995 |
受影響的軟體
此諮詢會討論下列軟體。
作業系統 |
---|
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 SP2 for Itanium 型系統 |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 for 32 位系統 Service Pack 2 |
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 |
Windows Server 2008 for Itanium 型系統 Service Pack 2 |
Windows 7 for 32 位系統 Service Pack 1 |
Windows 7 for x64 型系統 Service Pack 1 |
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 |
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1 |
Windows 8 for 32 位系統 |
適用於 x64 型系統的 Windows 8 |
Windows Server 2012 |
Windows RT |
Windows 8.1 for 32 位系統 |
適用於 x64 型系統的 Windows 8.1 |
Windows Server 2012 R2 |
Windows RT 8.1 |
Server Core 安裝選項 |
Windows Server 2008 for 32 位系統 Service Pack 2 (Server Core 安裝) |
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝) |
適用於 x64 型系統的 Windows Server 2008 R2 (Server Core 安裝) |
Windows Server 2012 (Server Core 安裝) |
Windows Server 2012 R2 (Server Core 安裝) |
受影響的裝置 |
Windows Phone 8 |
Windows Phone 8.1 |
諮詢常見問題
諮詢的範圍為何?
此諮詢的目的是通知客戶 MCS 控股公司針對包括 Google 網頁內容在內的多個網站不當發行 SSL 憑證。 這些 SSL 憑證可用來詐騙內容、執行網路釣魚攻擊,或針對 Web 屬性執行中間人攻擊。 從屬 CA 可能也可用來發行其他目前未知網站的憑證,可能會受到類似的攻擊。
造成問題的原因為何?
此問題是由次級 CA MCS Holdings 所造成,而未正確地向其擁有者以外的實體頒發網域憑證。 MCS控股授權單位隸屬於中國互聯網網路資訊中心(CNNIC),該中心是受信任的跟證書授權單位存放區中的 CA。
此更新是否處理任何其他數字證書?
是,除了處理此諮詢中所述的憑證之外,此更新是累積的,而且包含先前諮詢中所述的數字證書:
- Microsoft Security Advisory 3046310
- Microsoft Security Advisory 2982792
- Microsoft Security Advisory 2916652
- Microsoft Security Advisory 2798897
- Microsoft Security Advisory 2728973
- Microsoft Security Advisory 2718704
- Microsoft Security Advisory 2641690
- Microsoft Security Advisory 2607712
- Microsoft Security Advisory 2524375
什麼是密碼編譯?
密碼編譯是保護信息的科學,方法是在正常、可讀取的狀態(稱為純文本)之間轉換資訊,以及其中一種數據被遮蔽(稱為加密文字)。
在所有形式的密碼編譯中,稱為密鑰的值會與稱為密碼編譯演算法的程式搭配使用,將純文本數據轉換成加密文字。 在最熟悉的密碼編譯類型中,密碼密鑰密碼編譯會使用相同的密鑰轉換回純文字。 不過,在第二種類型的密碼編譯中,公鑰加密會使用不同的密鑰,將加密文字轉換回純文字。
什麼是數字證書?
在 公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是一個防竄改的數據片段,可將公鑰封裝在一起,以及其相關信息(誰擁有、其用途、到期時間等等)。
憑證用途為何?
憑證主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 通常您完全不需要考慮憑證。 不過,您可能會看到一則訊息,告知您憑證已過期或無效。 在這些情況下,您應該遵循訊息中的指示。
什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。
什麼是憑證信任清單 (CTL)?
簽署郵件的收件者與郵件的簽署者之間必須存在信任。 建立此信任的其中一種方法是透過憑證,一份電子文件,確認實體或人員是他們聲稱身分的。 憑證是由其他雙方信任的第三方所簽發給實體。 因此,簽署訊息的每個收件者都會決定簽署者憑證的簽發者是否值得信任。 CryptoAPI 已實作方法,可讓應用程式開發人員建立應用程式,以針對預先定義的受信任憑證或根清單自動驗證憑證。 此信任實體清單(稱為主體)稱為憑證信任清單(CTL)。 如需詳細資訊,請參閱 MSDN 文章 憑證信任驗證。
攻擊者可能會使用這些憑證做什麼?
攻擊者可以使用這些憑證來詐騙內容、執行網路釣魚攻擊,或針對下列Web屬性執行中間人攻擊:
- *.google.com
- *.google.com.eg
- *.g.doubleclick.net
- *.gstatic.com
- www.google.com
- www.gmail.com
- *.googleapis.com
什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。
Microsoft 在協助解決此問題時,該怎麼做?
雖然此問題並非因任何 Microsoft 產品的問題而產生,但我們仍會更新 CTL 並提供更新來協助保護客戶。 Microsoft 會繼續調查此問題,並可能會對 CTL 進行未來的變更,或發行未來的更新,以協助保護客戶。
套用更新之後,如何確認 Microsoft 不受信任的憑證存放區中的憑證?
針對 Windows Vista、Windows 7、 使用撤銷憑證自動更新器的 Windows Server 2008 和 Windows Server 2008 R2 系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070),以及 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 系統,您可以在 事件檢視器 中檢查應用程式記錄檔,以取得具有下列值的專案:
- 來源:CAPI2
- 等級:資訊
- 事件標識碼:4112
- 描述:成功自動更新有效日期的不允許憑證清單:2015 年 3 月 23 日星期一(或更新版本)。
對於未使用已撤銷憑證自動更新的系統,請在 [憑證] MMC 嵌入式管理單元中,確認下列憑證已新增至 [不受信任的憑證 ] 資料夾:
[MSSQLSERVER 的通訊協定內容] | 發行者 | 指紋 |
---|---|---|
MCSHOLDING 測試 | CNNIC 根目錄 | e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76 |
注意 如需如何使用 MMC 嵌入式管理單元檢視憑證的資訊,請參閱 MSDN 文章 :如何:使用 MMC 嵌入式管理單元檢視憑證。
建議的動作
針對支援的 Microsoft Windows 版本套用更新
撤銷憑證的自動更新程式包含在 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1 和 Windows Server 2012 R2 的支援版本中,以及執行 Windows 電話 8 和 Windows 電話 8.1 的裝置。 針對這些操作系統或裝置,客戶不需要採取任何動作,因為 CTL 會自動更新。
對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用已撤銷憑證自動更新程式的系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 ),客戶不需要採取任何動作,因為這些系統會自動受到保護。
對於執行 Windows Server 2003 的客戶,Microsoft 建議使用更新管理軟體立即套用3050995更新、使用 Microsoft Update 服務檢查更新,或手動下載並套用更新(如需詳細資訊,請參閱 Microsoft 知識庫文章3050995 )。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 3 月 24 日):已發佈諮詢。
- V2.0 (2015 年 3 月 26 日):已重新發行公告 Windows Server 2003 支援版本的更新現已推出。 如需詳細資訊和下載連結,請參閱 Microsoft 知識庫文章3050995。
頁面產生的 2015-03-26 10:03Z-07:00。