Microsoft-Sicherheitsempfehlung 3097966

Versehentlich offengelegte digitale Zertifikate könnten Spoofing ermöglichen

Veröffentlicht: 24. September 2015 | Aktualisiert: 13. Oktober 2015

Version: 2.0

Kurzfassung

Am 24. September 2015 veröffentlichte Microsoft diese Empfehlung, um Kunden von vier versehentlich offengelegten digitalen Zertifikaten zu benachrichtigen, die zum Spoofen von Inhalten verwendet werden könnten, und um ein Update für die Zertifikatvertrauensliste (Certificate Trust List, CTL) bereitzustellen, um die Benutzermodusvertrauensstellung für die Zertifikate zu entfernen. Wie berichtet, können die offengelegten Endentitätszertifikate nicht zum Ausstellen anderer Zertifikate oder zum Annehmen der Identität anderer Domänen verwendet werden, sondern zum Signieren von Code verwendet werden. Darüber hinaus haben die jeweils ausstellenden Zertifizierungsstellen die vier Zertifikate widerrufen.

Mit der Überarbeitung dieser Empfehlung vom 13. Oktober 2015 kündigt Microsoft die Verfügbarkeit eines Updates für alle unterstützten Versionen von Windows an, das die Komponente Codeintegrität in Windows so ändert, dass die Entfernung der Vertrauensstellung für die Zertifikate erweitert wird, um auch die Signatur von Code im Kernelmodus auszuschließen.

Empfehlung. Anweisungen zum Anwenden der Updates für bestimmte Versionen von Microsoft Windows finden Sie im Abschnitt Vorgeschlagene Aktionen dieser Empfehlung. Beachten Sie, dass sowohl das am 24. September 2015 veröffentlichte CTL-Update als auch das am 13. Oktober 2015 veröffentlichte Windows-Update erforderlich sind, damit betroffene Systeme vor diesem Problem geschützt werden können.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 3097966 wird ein derzeit bekanntes Problem dokumentiert, das bei der Installation des Updates vom 13. Oktober 2015 auftreten kann. Der Artikel dokumentiert auch eine empfohlene Lösung.

Details zur Beratung

Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:

Referenzen Identifikation
Knowledge Base-Artikel 3097966

Betroffene Software

Diese Empfehlung gilt für die folgenden Betriebssysteme:

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 für 32-Bit-Systeme
Windows 8.1 für x64-basierte Systeme
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 für 32-Bit-Systeme[2]\ (3097617)
Windows 10 für x64-basierte Systeme[2]\ (3097617)
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation )
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation )
Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation )
Windows Server 2012 (Server Core-Installation)
Windows Server 2012 R2 (Server Core-Installation)
Betroffene Geräte
Windows Phone 8[1]
Windows Phone 8.1[1]

Beachten Sie Windows Server Technical Preview 3 betroffen ist. Kunden, die dieses Betriebssystem ausführen, werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.

[1]Windows Phone 8- und Windows Phone 8.1-Geräte haben automatisch das CTL-Update vom 24. September 2015 erhalten. Diese Geräte lassen jedoch die Installation von Treibern von Drittanbietern nicht zu, auch wenn sie signiert sind, sodass das sekundäre Update vom 13. Oktober 2015 nicht erforderlich ist.

[2]Das Windows 10 Update ist kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthält es auch alle Sicherheitsfixes für alle Windows 10 betroffenen Sicherheitsrisiken, die mit dem Sicherheitsrelease des jeweiligen Monats versendet werden. Das Update ist über den Windows Update-Katalog verfügbar. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3097617 .

Häufig gestellte Fragen zur Beratung

Warum wurde diese Empfehlung am 13. Oktober 2015 überarbeitet?
Die Empfehlung wurde am 13. Oktober 2015 überarbeitet, um Kunden darüber zu informieren, dass ein Windows-Update verfügbar ist, das die Codeintegritätskomponente in Windows ändert, um die Entfernung der Vertrauensstellung für die vier digitalen Zertifikate zu erweitern, um auch die Kernelmodus-Codesignatur auszuschließen. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3097966. Beachten Sie, dass sowohl das am 24. September 2015 veröffentlichte CTL-Update als auch das am 13. Oktober 2015 veröffentlichte Windows-Update erforderlich sind, damit betroffene Systeme vor dem in dieser Empfehlung beschriebenen Problem geschützt werden können.

Welchen Umfang hat die Beratung? 
Der Zweck dieser Empfehlung besteht darin, Kunden über Updates für Windows und die Zertifikatvertrauensliste (Certificate Trust List, CTL) zu benachrichtigen, um die Benutzermodusvertrauensstellung und die Codesignaturvertrauensstellung im Kernelmodus für vier digitale Zertifikate zu entfernen und dass die entsprechenden ausstellenden Zertifizierungsstellen die Zertifikate widerrufen haben.

Was hat das Problem verursacht? 
Das Problem wurde durch die versehentliche Veröffentlichung der Zertifikate durch die D-Link Corporation verursacht.

Adresst die CTL-Aktualisierung andere digitale Zertifikate?
Ja, zusätzlich zur Behandlung der in dieser Empfehlung beschriebenen Zertifikate ist das CTL-Update, das ursprünglich am 24. September 2015 veröffentlicht wurde, kumulativ und umfasst digitale Zertifikate, die in früheren Empfehlungen beschrieben wurden:

Was ist Kryptografie? 
Kryptografie ist die Wissenschaft des Schützens von Informationen, indem sie sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einem Zustand konvertiert, in dem die Daten verschleiert werden (als Chiffretext bezeichnet).

In allen Formen der Kryptografie wird ein Wert, der als Schlüssel bezeichnet wird, in Verbindung mit einer Prozedur verwendet, die als Kryptoalgorithmus bezeichnet wird, um Klartextdaten in Chiffretext zu transformieren. Bei der bekanntesten Art der Kryptografie, der Geheimschlüsselkryptografie, wird der Chiffretext mit demselben Schlüssel wieder in Klartext transformiert. Bei einer zweiten Art der Kryptografie, der Kryptografie mit öffentlichem Schlüssel, wird jedoch ein anderer Schlüssel verwendet, um den Chiffretext wieder in Klartext zu transformieren.

Was ist ein digitales Zertifikat?  
In der Kryptografie mit öffentlichem Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll für die Welt freigegeben werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, der Welt mitzuteilen, wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt (wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.).

Wofür werden Zertifikate verwendet? 
Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie überhaupt nicht über Zertifikate nachdenken. Möglicherweise wird jedoch eine Meldung angezeigt, die Sie darüber informiert, dass ein Zertifikat abgelaufen oder ungültig ist. In diesen Fällen sollten Sie die Anweisungen in der Nachricht befolgen.

Was ist eine Zertifizierungsstelle?  
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie stellen die Echtheit öffentlicher Schlüssel fest, die Personen oder anderen Zertifizierungsstellen gehören, und überprüfen die Identität einer Person oder organization, die ein Zertifikat anfordern.

Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?  
Zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht muss eine Vertrauensstellung vorhanden sein. Eine Methode, um diese Vertrauensstellung herzustellen, ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen die Personen sind, die sie vorgeben zu sein. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, der von beiden anderen Parteien vertraut wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste vertrauenswürdiger Zertifikate oder Stammzertifikate überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Subjekte bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel Zertifikatvertrauensüberprüfung.

Was kann ein Angreifer mit diesen Zertifikaten tun? 
Ein Angreifer könnte die Zertifikate verwenden, um Code betrügerisch zu signieren.

Was tut Microsoft, um dieses Problem zu beheben?  
Obwohl dieses Problem nicht durch ein Problem in einem Microsoft-Produkt resultiert, aktualisieren wir dennoch die CTL und stellen ein Windows-Update bereit, um Kunden zu schützen. Microsoft wird dieses Problem weiterhin untersuchen und möglicherweise zukünftige Änderungen an der CTL vornehmen oder ein zukünftiges Update veröffentlichen, um Kunden zu schützen.

Wie kann ich nach dem Anwenden des CTL-Updates überprüfen, ob sich das Zertifikat im Microsoft-Speicher für nicht vertrauenswürdige Zertifikate befindet?
Für Windows Vista-, Windows 7-, Windows Server 2008- und Windows Server 2008 R2-Systeme, die die automatische Aktualisierung widerrufener Zertifikate verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070), und für Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 und Windows 10 Systeme können Sie das Anwendungsprotokoll in der Ereignisanzeige für einen Eintrag mit den folgenden Werten:

  • Quelle: CAPI2
  • Ebene: Information
  • Ereignis-ID: 4112
  • Beschreibung: Erfolgreiche automatische Aktualisierung der nicht zulässigen Zertifikatliste mit Inkrafttreten: Mittwoch, 23. September 2015 (oder höher).

Überprüfen Sie bei Systemen, die nicht die automatische Aktualisierung widerrufener Zertifikate verwenden, im MMC-Snap-In Zertifikate, ob das folgende Zertifikat dem Ordner Nicht vertrauenswürdige Zertifikate hinzugefügt wurde:

Certificate **Ausgestellt von ** Fingerabdruck
DLINK CORPORATION Symantec Corporation 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb
Alphanetzwerke Symantec Corporation 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b
KEEBOX GoDaddy.com, LLC 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c
Trendnet GoDaddy.com, LLC db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

Hinweis Informationen zum Anzeigen von Zertifikaten mit dem MMC-Snap-In finden Sie im MSDN-Artikel Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In.

Vorgeschlagene Aktionen

  • Anwenden des am 13. Oktober 2015 veröffentlichten 3097966-Updates

    Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das 3097966 Update automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 3097966.

    Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das 3097966 Update manuell installieren möchten, empfiehlt Microsoft Kunden, das Update sofort mithilfe der Updateverwaltungssoftware oder mithilfe des Microsoft Update-Diensts auf Updates zu überprüfen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 3097966.

  • Wenden Sie das CTL-Update an, das am 24. September 2015 veröffentlicht wurde (sofern noch nicht angewendet).

    Eine automatische Aktualisierung widerrufener Zertifikate ist in den unterstützten Editionen von Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 und Windows 10 sowie für Geräte mit Windows Phone 8 und Windows Phone 8.1 enthalten. Für diese Betriebssysteme oder Geräte müssen Kunden keine Maßnahmen ergreifen, da die CTL automatisch aktualisiert wird.

    Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, die den automatischen Updater widerrufener Zertifikate verwenden (weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ), müssen Kunden keine Maßnahmen ergreifen, da diese Systeme automatisch geschützt werden.

    Für Systeme mit Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2, auf denen die automatische Aktualisierung widerrufener Zertifikate nicht installiert ist, ist dieses Update nicht verfügbar. Um dieses Update zu erhalten, müssen Kunden den automatischen Updater für widerrufene Zertifikate installieren (Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2677070 ). Kunden in nicht verbundenen Umgebungen, die Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausführen, können update 2813430 installieren, um dieses Update zu erhalten (Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430 ).

Zusätzliche vorgeschlagene Aktionen

  • Schützen Des PCs

    Wir empfehlen Kunden weiterhin, unseren Leitfaden zum Schutz Ihres Computers zu befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Safety & Security Center.

  • Microsoft-Software auf dem neuesten Stand halten

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, überprüfen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert und so konfiguriert haben, dass Updates für Microsoft-Produkte bereitgestellt werden, werden die Updates an Sie übermittelt, sobald sie veröffentlicht werden. Sie sollten jedoch überprüfen, ob sie installiert sind.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel 3097966.

Sonstige Informationen

Feedback

Support

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden "wie ben", ohne jegliche Gewährleistung jeglicher Art bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (24. September 2015): Empfehlung veröffentlicht.
  • V2.0 (13. Oktober 2015): Die Empfehlung wurde überarbeitet, um Kunden darüber zu informieren, dass ein Update verfügbar ist, das die Codeintegritätskomponente in Windows so ändert, dass die Entfernung von Vertrauensstellungen für die vier digitalen Zertifikate, die in dieser Empfehlung behandelt werden, erweitert wird, um auch die Codesignatur im Kernelmodus auszuschließen.

Seite generiert am 16.11.2015 08:35-08:00.