Microsoft Security Advisory 3097966
無意間披露的數位證書可能會允許詐騙
發佈時間: 2015 年 9 月 24 日 |更新日期:2015年10月13日
版本: 2.0
執行摘要
在 2015 年 9 月 24 日,Microsoft 發佈此諮詢,通知客戶有四個無意中披露的數位證書,這些憑證可用來詐騙內容,並提供憑證信任清單 (CTL) 的更新,以移除憑證的使用者模式信任。 如所述,披露的端實體憑證無法用來發行其他憑證或模擬其他網域,但可用來簽署程序代碼。 此外,個別的頒發證書授權單位已撤銷這四個憑證。
隨著此諮詢的 2015 年 10 月 13 日修訂,Microsoft 宣佈針對所有支援的 Windows 版本提供更新,以修改 Windows 中的程式代碼完整性元件,以擴充憑證的信任移除,以排除內核模式程式代碼簽署。
建議。 如需套用 Microsoft Windows 特定版本的更新的指示,請參閱此諮詢的一節。 請注意,在 2015 年 9 月 24 日發行的 CTL 更新和 2015 年 10 月 13 日發行的 Windows 更新,都必須讓受影響的系統免於此問題保護。
已知問題。 Microsoft 知識庫文章3097966記載 客戶在安裝 2015 年 10 月 13 日更新時可能會遇到的目前已知問題。 本文也會記載建議的解決方案。
諮詢詳細數據
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 識別 |
|---|---|
| 知識庫文章 | 3097966 |
受影響的軟體
此諮詢適用於下列作業系統:
注意 Windows Server Technical Preview 3 受到影響。 鼓勵執行此操作系統的客戶套用可透過 Windows Update 取得的更新。
[1]Windows 電話 8 和 Windows 電話 8.1 裝置會自動收到 2015 年 9 月 24 日 CTL 更新;不過,即使簽署,這些裝置也不允許安裝第三方驅動程式,因此不需要 2015 年 10 月 13 日的第二次更新。
[2]Windows 10 更新是累積的。 除了包含非安全性更新之外,它也包含隨附指定月份安全性版本之所有 Windows 10 受影響弱點的所有安全性修正程式。 更新可透過 Windows Update 目錄取得。 如需詳細資訊和下載連結,請參閱 Microsoft 知識庫文章3097617 。
諮詢常見問題
為什麼這項諮詢於 2015 年 10 月 13 日修訂?
諮詢於 2015 年 10 月 13 日修訂,以通知客戶有 Windows Update 可修改 Windows 中的程式碼完整性元件,以擴充四個數位證書的信任移除,以排除核心模式程式代碼簽署。 如需詳細資訊和下載連結,請參閱 Microsoft 知識庫文章3097966。 請注意,2015 年 9 月 24 日發行的 CTL 更新和 2015 年 10 月 13 日發行的 Windows 更新,都必須讓受影響的系統免於此諮詢中所討論的問題。
諮詢的範圍為何?
此諮詢的目的是通知客戶 Windows 和憑證信任清單 (CTL) 的更新,以移除四個數位證書的使用者模式信任和核心模式程式代碼簽署信任,以及個別發行證書頒發機構單位 (CA) 已撤銷憑證。
造成問題的原因為何?
此問題是由 D-Link 公司無意中發佈憑證所造成。
CTL 更新是否處理任何其他數字證書?
是,除了處理此諮詢中所述的憑證之外,最初於 2015 年 9 月 24 日發行的 CTL 更新是累積的,並且包含先前諮詢中所述的數位證書:
- Microsoft 資訊安全諮詢3050995
- Microsoft Security Advisory 3046310
- Microsoft Security Advisory 2982792
- Microsoft Security Advisory 2916652
- Microsoft Security Advisory 2798897
- Microsoft Security Advisory 2728973
- Microsoft Security Advisory 2718704
- Microsoft Security Advisory 2641690
- Microsoft Security Advisory 2607712
- Microsoft Security Advisory 2524375
什麼是密碼編譯?
密碼編譯是保護信息的科學,方法是在正常、可讀取的狀態(稱為純文本)之間轉換資訊,以及其中一種數據被遮蔽(稱為加密文字)。
在所有形式的密碼編譯中,稱為密鑰的值會與稱為密碼編譯演算法的程式搭配使用,將純文本數據轉換成加密文字。 在最熟悉的密碼編譯類型中,密碼密鑰密碼編譯會使用相同的密鑰轉換回純文字。 不過,在第二種類型的密碼編譯中,公鑰加密會使用不同的密鑰,將加密文字轉換回純文字。
什麼是數字證書?
在 公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是一個防竄改的數據片段,可將公鑰封裝在一起,以及其相關信息(誰擁有、其用途、到期時間等等)。
憑證用途為何?
憑證主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 通常您完全不需要考慮憑證。 不過,您可能會看到一則訊息,告知您憑證已過期或無效。 在這些情況下,您應該遵循訊息中的指示。
什麼是證書頒發機構單位 (CA)?
證書頒發機構單位是發行憑證的組織。 他們會建立並驗證屬於人員或其他證書頒發機構單位的公鑰真實性,並驗證要求憑證的人員或組織身分識別。
什麼是憑證信任清單 (CTL)?
簽署郵件的收件者與郵件的簽署者之間必須存在信任。 建立此信任的其中一種方法是透過憑證,一份電子文件,確認實體或人員是他們聲稱身分的。 憑證是由其他雙方信任的第三方所簽發給實體。 因此,簽署訊息的每個收件者都會決定簽署者憑證的簽發者是否值得信任。 CryptoAPI 已實作方法,可讓應用程式開發人員建立應用程式,以針對預先定義的受信任憑證或根清單自動驗證憑證。 此信任實體清單(稱為主體)稱為憑證信任清單(CTL)。 如需詳細資訊,請參閱 MSDN 文章 憑證信任驗證。
攻擊者可能會使用這些憑證做什麼?
攻擊者可以使用憑證來詐騙簽署程序代碼。
Microsoft 在協助解決此問題時,該怎麼做?
雖然此問題並非因為 Microsoft 產品發生問題,但我們仍會更新 CTL 並提供 Windows 更新來協助保護客戶。 Microsoft 會繼續調查此問題,並可能會對 CTL 進行未來的變更,或發行未來的更新,以協助保護客戶。
套用 CTL 更新之後,如何確認憑證位於 Microsoft 不受信任的憑證存放區中?
針對 Windows Vista、Windows 7、Windows Server 2008、 和使用撤銷憑證自動更新器的 Windows Server 2008 R2 系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070),以及 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2 和 Windows 10 系統,您可以檢查應用程式記錄檔中的 事件檢視器 是否有具有下列值的專案:
- 來源:CAPI2
- 等級:資訊
- 事件標識碼:4112
- 描述:成功自動更新有效日期的不允許憑證清單:2015 年 9 月 23 日星期三(或更新版本)。
對於未使用已撤銷憑證自動更新的系統,請在 [憑證] MMC 嵌入式管理單元中,確認下列憑證已新增至 [不受信任的憑證 ] 資料夾:
| [MSSQLSERVER 的通訊協定內容] | **發行者** | 指紋 |
|---|---|---|
| DLINK CORPORATION | Symantec Corporation | 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb |
| Alpha 網路 | Symantec Corporation | 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b |
| KEEBOX | GoDaddy.com,LLC | 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c |
| TRENDnet | GoDaddy.com,LLC | db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14 |
注意 如需如何使用 MMC 嵌入式管理單元檢視憑證的資訊,請參閱 MSDN 文章 :如何:使用 MMC 嵌入式管理單元檢視憑證。
建議的動作
套用 2015 年 10 月 13 日發行的3097966更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝3097966更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章3097966。
對於系統管理員和企業安裝,或想要手動安裝3097966更新的使用者,Microsoft 建議客戶使用更新管理軟體立即套用更新,或使用 Microsoft Update 服務檢查更新。 如需如何手動套用更新的詳細資訊,請參閱 Microsoft 知識庫文章3097966。
套用 2015 年 9 月 24 日發行的 CTL 更新(如果尚未套用)
撤銷憑證的自動更新程式包含在 Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、Windows Server 2012 R2 和 Windows 10 的支援版本中,以及執行 Windows 電話 8 和 Windows 電話 8.1 的裝置。 針對這些操作系統或裝置,客戶不需要採取任何動作,因為 CTL 會自動更新。
對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用已撤銷憑證自動更新程式的系統(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 ),客戶不需要採取任何動作,因為這些系統會自動受到保護。
對於執行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且未安裝已撤銷憑證自動更新程式的系統,無法使用此更新。 若要接收此更新,客戶必須安裝已撤銷憑證的自動更新程式(如需詳細資訊,請參閱 Microsoft 知識庫文章2677070 )。 執行 Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的中斷聯機環境中的客戶可以安裝更新2813430以接收此更新(如需詳細資訊,請參閱 Microsoft 知識庫文章2813430 )。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
安全性更新部署
如需安全性更新部署資訊,請參閱 Microsoft 知識庫文章3097966。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 9 月 24 日):已發佈諮詢。
- V2.0 (2015 年 10 月 13 日):已修訂通知客戶,更新可修改 Windows 中的程式碼完整性元件,以擴充此諮詢所尋址的四個數位證書的信任移除,以排除核心模式程式代碼簽署。
頁面產生的 2015-11-16 08:35-08:00。