Sicherheitsempfehlung
Microsoft-Sicherheitsempfehlung 2718704
Nicht autorisierte digitale Zertifikate können Spoofing ermöglichen
Veröffentlicht: 03. Juni 2012 | Aktualisiert: 13. Juni 2012
Version: 1.1
Allgemeine Informationen
Kurzfassung
Microsoft ist sich von aktiven Angriffen mit nicht autorisierten digitalen Zertifikaten bewusst, die von einer Microsoft-Zertifizierungsstelle abgeleitet werden. Ein nicht autorisiertes Zertifikat kann verwendet werden, um Inhalte zu spoofen, Phishingangriffen auszuführen oder Man-in-the-Middle-Angriffe auszuführen. Dieses Problem betrifft alle unterstützten Versionen von Microsoft Windows.
Microsoft stellt ein Update für alle unterstützten Versionen von Microsoft Windows bereit. Das Update widerruft die Vertrauensstellung der folgenden Zwischenzertifikate der Zertifizierungsstelle:
- Von Microsoft erzwungene Lizenzierung zwischen PCA (2 Zertifikate)
- Von Microsoft erzwungene Lizenzierungsregistrierungsstelle (SHA1)
Empfehlung. Für unterstützte Versionen von Microsoft Windows empfiehlt Microsoft, dass Kunden das Update sofort mithilfe der Updateverwaltungssoftware anwenden oder mithilfe des Microsoft Update-Diensts nach Updates suchen. Weitere Informationen finden Sie im Abschnitt Vorgeschlagene Aktionen dieser Empfehlung.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Referenzen | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2718704 |
Betroffene Software und Geräte
In dieser Empfehlung werden die folgenden betroffenen Software und Geräte erläutert.
| Betroffene Software |
|---|
| Betriebssystem |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 |
| Windows 7 für 32-Bit-Systeme |
| Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme |
| Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basiert |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Server Core-Installationsoption |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) |
| Nicht betroffene Geräte |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Häufig gestellte Fragen
Warum wurde diese Empfehlung am 13. Juni 2012 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um Kunden darüber zu informieren, dass Microsoft nach weiterer Untersuchung festgestellt hat, dass Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5-Geräte von dem Problem nicht betroffen sind.
Was ist der Umfang der Beratung?
Der Zweck dieser Empfehlung besteht darin, Kunden darüber zu informieren, dass Microsoft bestätigt hat, dass zwei nicht autorisierte Zertifikate von Microsoft ausgestellt wurden und bei aktiven Angriffen verwendet werden. Während unserer Untersuchung wurde festgestellt, dass eine dritte Zertifizierungsstelle Zertifikate mit schwachen Verschlüsselungen ausgestellt hat.
Microsoft hat ein Update für alle unterstützten Versionen von Microsoft Windows veröffentlicht, das das Problem behebt.
Adressiert dieses Update andere nicht autorisierte digitale Zertifikate?
Ja. Zusätzlich zur Behandlung der drei in dieser Empfehlung beschriebenen nicht autorisierten Zertifikate ist dieses Update kumulativ und adressiert nicht autorisierte digitale Zertifikate, die in vorherigen Empfehlungen beschrieben wurden: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712 und Microsoft Security Advisory 2641690.
Ist Windows 8 Consumer Preview von dem in dieser Empfehlung behandelten Problem betroffen?
Ja. Das Update ist für die Windows 8 Consumer Preview-Version verfügbar. Kunden mit Windows 8 Consumer Preview werden empfohlen, die Updates auf ihre Systeme anzuwenden. Die Updates sind nur auf Windows Update verfügbar.
Ist windows 8 Release Preview von dem in dieser Empfehlung behandelten Problem betroffen?
Ja. Das Update ist für die Windows 8 Release Preview-Version verfügbar. Kunden mit Windows 8 Release Preview wird empfohlen, die Updates auf ihre Systeme anzuwenden. Die Updates sind nur auf Windows Update verfügbar.
Was ist Kryptografie?
Kryptografie ist die Wissenschaft der Sicherung von Informationen, indem sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einem Zustand konvertiert wird, in dem die Daten verdeckt sind (als Chiffretext bezeichnet).
In allen Formen der Kryptografie wird ein Als Schlüssel bezeichneter Wert in Verbindung mit einer Prozedur verwendet, die als Kryptoalgorithmus bezeichnet wird, um Klartextdaten in Verschlüsselungstext zu transformieren. In der bekanntesten Art der Kryptografie, der Kryptografie mit geheimem Schlüssel, wird der Verschlüsselungstext mit demselben Schlüssel wieder in Klartext transformiert. In einer zweiten Art von Kryptografie, der Kryptografie mit öffentlichem Schlüssel, wird jedoch ein anderer Schlüssel verwendet, um den Chiffretext wieder in Klartext zu transformieren.
Was ist ein digitales Zertifikat?
Bei der Kryptografie mit öffentlichem Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll für die Welt freigegeben werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, der Welt mitzuteilen, wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt – wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.
Wofür werden Zertifikate verwendet?
Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie überhaupt nicht über Zertifikate nachdenken. Möglicherweise wird jedoch eine Meldung angezeigt, die Sie darüber informiert, dass ein Zertifikat abgelaufen oder ungültig ist. In diesen Fällen sollten Sie die Anweisungen in der Nachricht befolgen.
Was ist eine Zertifizierungsstelle?
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie stellen die Echtheit öffentlicher Schlüssel fest, die Personen oder anderen Zertifizierungsstellen gehören, und überprüfen die Identität einer Person oder organization, die ein Zertifikat anfordern.
Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?
Zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht muss eine Vertrauensstellung vorhanden sein. Eine Methode, um diese Vertrauensstellung herzustellen, ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen die Personen sind, die sie vorgeben zu sein. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, der von beiden anderen Parteien vertraut wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste vertrauenswürdiger Zertifikate oder Stammzertifikate überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Subjekte bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel Zertifikatvertrauensüberprüfung.
Was hat das Problem verursacht?
Microsoft ist sich von aktiven Angriffen mit nicht autorisierten digitalen Zertifikaten bewusst, die von einer Microsoft-Zertifizierungsstelle abgeleitet werden. Ein nicht autorisiertes Zertifikat kann verwendet werden, um Inhalte zu spoofen, Phishingangriffen auszuführen oder Man-in-the-Middle-Angriffe auszuführen. Dieses Problem betrifft alle unterstützten Versionen von Microsoft Windows.
Was kann ein Angreifer mit dem Problem tun?
Ein Angreifer kann diese Zertifikate verwenden, um Inhalte zu spoofen, Phishingangriffen auszuführen oder Man-in-the-Middle-Angriffe auszuführen.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers ohne Wissen der beiden kommunizierenden Benutzer umgeleitet. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an den Angreifer und empfängt diesen, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was tut Microsoft, um dieses Problem zu beheben?
Wir haben den Nicht vertrauenswürdigen Zertifikatspeicher aktualisiert, um die Vertrauensstellung in die betroffenen Microsoft-Zertifizierungsstellen zu entfernen.
Wie kann ich nach dem Anwenden des Updates die Zertifikate im Microsoft Nicht vertrauenswürdigen Zertifikatspeicher überprüfen?
Informationen zum Anzeigen von Zertifikaten finden Sie im MSDN-Artikel Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In.
Überprüfen Sie im MMC-Snap-In Zertifikate, ob dem Ordner Nicht vertrauenswürdige Zertifikate die folgenden Zertifikate hinzugefügt wurden:
| Zertifikat | Ausgestellt von | Fingerabdruck |
|---|---|---|
| Von Microsoft erzwungene Lizenzierungs-Zwischen-PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Von Microsoft erzwungene Lizenzierungs-Zwischen-PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Von Microsoft erzwungene Lizenzierungsregistrierungsstelle (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Vorgeschlagene Aktionen
Für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das UPDATE KB2718704 automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das UPDATE KB2718704 manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update sofort mithilfe der Updateverwaltungssoftware oder mithilfe des Microsoft Update-Diensts nach Updates suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 2718704.
Zusätzliche vorgeschlagene Aktionen
Schützen Des PCs
Wir empfehlen Kunden weiterhin, unseren Leitfaden zum Schutz Ihres Computers zu befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen zu diesen Schritten finden Kunden unter Schützen Ihres Computers.
Weitere Informationen zum Sicheren im Internet finden Sie unter Microsoft Security Central.
Microsoft-Software auf dem neuesten Stand halten
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, überprüfen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert und so konfiguriert haben, dass Updates für Microsoft-Produkte bereitgestellt werden, werden die Updates an Sie übermittelt, sobald sie veröffentlicht werden. Sie sollten jedoch überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft vor jedem monatlichen Release von Sicherheitsupdates Sicherheitsinformationen für wichtige Sicherheitssoftwareanbieter bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden aktualisierten Schutz über ihre Sicherheitssoftware oder Geräte wie Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Eindringschutzsysteme bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie die von Programmpartnern bereitgestellten Websites für aktive Schutzmaßnahmen, die unter Mapp-Partner (Microsoft Active Protections Program) aufgeführt sind.
Feedback
- Sie können Feedback geben, indem Sie das Microsoft-Formular "Hilfe und Support" ausfüllen: Kundendienst Kontaktieren Sie uns.
Support
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zur Kontaktaufnahme mit Microsoft für internationale Supportprobleme finden Sie unter Internationaler Support.
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden "wie ben", ohne jegliche Gewährleistung jeglicher Art bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (3. Juni 2012): Empfehlung veröffentlicht.
- V1.1 (13. Juni 2012): Die Empfehlung wurde überarbeitet, um Kunden darüber zu informieren, dass Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5-Geräte von dem Problem nicht betroffen sind.
Erstellt am 18.04.2014:49:36Z-07:00