Freigeben über

Sicherheitsbulletin

Microsoft Security Bulletin MS01-017 – Kritisch

Fehlerhafte veriSign ausgestellte digitale Zertifikate stellen Spoofing-Gefahr dar

Veröffentlicht: 22. März 2001 | Aktualisiert: 23. Juni 2003

Version: 2.3

Ursprünglich veröffentlicht: 22. März 2001
Aktualisiert: 23. Juni 2003

Zusammenfassung

Wer sollte dieses Bulletin lesen:
Alle Kunden, die Microsoft-Produkte® verwenden.

Auswirkungen der Sicherheitsanfälligkeit:
Angreifer könnten Code mit dem Namen "Microsoft Corporation" digital signieren.

Empfehlung:
Alle Kunden sollten das unten beschriebene Update installieren.

Betroffene Software:

  • Microsoft Windows® 95
  • Microsoft Windows 98
  • Microsoft Windows Me
  • Microsoft Windows NT® 4.0
  • Microsoft Windows 2000
  • Microsoft Windows XP Beta 2

Allgemeine Informationen

Technische Details

Technische Beschreibung:

Mitte März 2001 hat VeriSign, Inc., Microsoft mitgeteilt, dass es am 29. und 30. Januar 2001 zwei Digitale Codesignaturzertifikate der VeriSign Class 3 an eine Person ausgestellt hat, die betrügerisch behauptet hat, ein Microsoft-Mitarbeiter zu sein. Der gemeinsame Name, der beiden Zertifikaten zugewiesen ist, ist "Microsoft Corporation". Die Möglichkeit, ausführbare Inhalte mithilfe von Schlüsseln zu signieren, die zu Microsoft gehören, wäre für einen Angreifer, der benutzer davon überzeugen möchte, die Ausführung der Inhalte zuzulassen, eindeutig vorteilhaft.

Die Zertifikate können zum Signieren von Programmen, ActiveX-Steuerelementen, Office-Makros und anderen ausführbaren Inhalten verwendet werden. Von diesen würden signierte ActiveX-Steuerelemente und Office-Makros das größte Risiko darstellen, da die Angriffsszenarien, die sie einbeziehen, die am einfachsten wären. Sowohl ActiveX-Steuerelemente als auch Word-Dokumente können über Webseiten oder HTML-Mails übermittelt werden. ActiveX-Steuerelemente können automatisch über Skripts aufgerufen werden, und Word-Dokumente können automatisch über skript geöffnet werden, es sei denn, der Benutzer hat das Office Document Open Confirmation Tool angewendet.

Obwohl die Zertifikate sagen, dass sie im Besitz von Microsoft sind, sind sie keine bona fide Microsoft-Zertifikate, und von ihnen signierte Inhalte würden standardmäßig nicht vertrauenswürdig sein. Die Vertrauensstellung wird auf Zertifikatbasis und nicht auf der Grundlage des gemeinsamen Namens definiert. Daher würde ein Warndialog angezeigt, bevor ein signierter Inhalt ausgeführt werden könnte, auch wenn der Benutzer zuvor zugestimmt hatte, anderen Zertifikaten mit dem gemeinsamen Namen "Microsoft Corporation" zu vertrauen. Die Gefahr besteht natürlich darin, dass selbst ein sicherheitsbewusster Benutzer der Ausführung des Inhalts zustimmen kann und sich damit einverstanden erklären kann, immer den gefälschten Zertifikaten zu vertrauen.

VeriSign hat die Zertifikate widerrufen und sind in der aktuellen Zertifikatsperrliste (Certificate Revocation List, CRL) von VeriSign aufgeführt. Da die Codesignaturzertifikate von VeriSign jedoch keinen CRL-Verteilungspunkt (CRL Distribution Point, CDP) angeben, ist es nicht möglich, dass der CRL-Überprüfungsmechanismus eines Browsers das VeriSign-CRL finden und verwenden kann. Microsoft hat ein Update entwickelt, das dieses Problem behebt. Das Updatepaket enthält eine CRL mit den beiden Zertifikaten und einen installierbaren Sperrhandler, der die CRL auf dem lokalen Computer konsultiert, anstatt zu versuchen, den CDP-Mechanismus zu verwenden.

Kunden sollten die unten im Abschnitt mit dem Titel "Zusätzliche Informationen zu diesem Patch" aufgeführten Bedenken beachten und insbesondere beachten, dass das Update beim Upgrade auf eine aktuell verfügbare Version von Windows oder Internet Explorer erneut installiert werden muss. Windows-Versionen, die mit Windows XP Gold und Windows 2000 Service Pack 2 beginnen, und Versionen von Internet Explorer ab IE 6 erfordern keine erneute Installation des Updates.

Kunden, die das Update nicht installieren möchten, sollten die folgenden Schritte ausführen, um sich zu schützen, wenn sie auf feindlichen Code stoßen, der von einem der Zertifikate signiert ist:

  • Prüfen Sie die in allen Warndialogen zitierten Zertifikate visuell. Die beiden in Rede stehenden Zertifikate wurden am 29. und 30. Januar 2001 ausgestellt. An diesen Tagen wurden keine bona fide Microsoft-Zertifikate ausgestellt. Der Faq- und Knowledge Base-Artikel Q293817 vollständige Details zu beiden Zertifikaten bereitstellen.
  • Installieren Sie das Outlook-E-Mail-Sicherheitsupdate , um zu verhindern, dass E-Mail-programme gestartet werden, auch über signierte Komponenten, und installieren Sie das Office Document Open Confirmation Tool , um webseiten zu erzwingen, die Berechtigung vor dem Öffnen von Office-Dokumenten anzufordern.

Mildernde Faktoren:

  • Die Zertifikate sind standardmäßig nicht vertrauenswürdig. Daher konnten weder Code noch ActiveX-Steuerelemente ausgeführt werden, ohne einen Warndialog anzuzeigen. Durch anzeigen des Zertifikats in solchen Dialogen können Benutzer die Zertifikate leicht erkennen.
  • Die Zertifikate sind nicht die bona fide Microsoft-Codesignaturzertifikate. Von diesen Schlüsseln signierte Inhalte können von bona fide Microsoft-Inhalten unterschieden werden.

Sicherheitsrisikobezeichner: Keine. Dieses Problem ist nicht das Ergebnis eines Fehlers in einem Microsoft-Produkt; sie führt zu einem Fehler eines Drittanbieters.

Getestete Versionen:

Microsoft hat die folgenden Produkte getestet, um zu beurteilen, ob sie von dieser Sicherheitsanfälligkeit betroffen sind. Wir haben auf normale Supportrichtlinien verzichtet, um Korrekturen für alle Betriebssysteme bereitzustellen, die noch weit verbreitet sind, unabhängig davon, ob sie normalerweise unterstützt werden oder nicht.

  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows Me
  • Microsoft Windows NT 4.0
  • Microsoft Windows 2000

Häufig gestellte Fragen

Ist dies eine Sicherheitslücke?
Dieses Problem entspricht nicht der strengen Definition einer Sicherheitslücke, da es keine Fehler in einem der betroffenen Microsoft-Produkte gibt. Das Problem ergibt sich ausschließlich aufgrund eines Fehlers eines Drittanbieters. Es stellt jedoch eindeutig ein ernstes Risiko für Kunden dar, und wir haben dieses Bulletin herausgegeben, um Informationen über das Problem bereitzustellen und die Aktionen, die Kunden sofort ergreifen sollten.

Was ist der Umfang des Problems?
VeriSign, Inc., eine große Zertifizierungsstelle, hat Microsoft informiert, dass es im Januar 2001 fälschlicherweise zwei digitale Zertifikate an eine Person ausgestellt hat, die betrügerisch behauptet hat, ein Microsoft-Mitarbeiter zu sein. Diese Zertifikate können zum digitalen Signieren von Programmen (einschließlich ActiveX-Steuerelementen und Word-Makros) mit dem Namen "Microsoft Corporation" verwendet werden. Programme, die mit diesen Zertifikaten signiert sind, können nicht automatisch ausgeführt werden oder normale Sicherheitseinschränkungen umgehen. Allerdings würde der warnende Dialog, der vor der Ausführung solcher Programme erscheint, behaupten, dass sie von Microsoft digital signiert wurden. Dies wäre eindeutig eine erhebliche Hilfe, um einen Benutzer zum Ausführen des Programms zu führen.

Was ist ein digitales Zertifikat?
Um diese Frage zu beantworten, müssen wir zuerst die Kryptografie, insbesondere die Kryptografie mit öffentlichem Schlüssel, diskutieren. Kryptografie ist die Wissenschaft der Sicherung von Informationen, indem sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einer konvertiert wird, in dem die Daten verdeckt werden (sogenannter Chiffretext). In allen Formen der Kryptografie wird ein Wert, der als Schlüssel bezeichnet wird, in Verbindung mit einem Verfahren verwendet, das als Kryptoalgorithm bezeichnet wird, um Nur-Text-Daten in Chiffretext zu transformieren. In der bekanntesten Art von Kryptografie, Geheimschlüssel-Kryptografie, wird der Chiffretext mithilfe desselben Schlüssels wieder in Nur-Text umgewandelt. In einer zweiten Art von Kryptografie wird jedoch eine andere Schlüssel kryptografie verwendet, um den Chiffretext wieder in Nur-Text zu transformieren. In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt – wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.

Wofür kann ein digitales Zertifikat verwendet werden?
Ein digitales Zertifikat (oder richtiger, ein Schlüsselpaar, von dem der öffentliche Schlüssel in einem digitalen Zertifikat verpackt ist) kann auf zwei Arten verwendet werden. Wenn Personen den öffentlichen Schlüssel (die in einem digitalen Zertifikat gekapselt) zum Verschlüsseln von Daten verwenden, kann nur die Person, die den entsprechenden privaten Schlüssel enthält, diese lesen; auf diese Weise können die Daten vertraulich gehalten werden. Wenn der Besitzer des privaten Schlüssels diese zum Verschlüsseln von Daten verwendet, kann jeder ihn mit dem entsprechenden öffentlichen Schlüssel entschlüsseln. Dieser Prozess bietet keine Vertraulichkeit (da jeder auf den öffentlichen Schlüssel zugreifen und die Nachricht entschlüsseln kann), bietet aber zwei weitere Funktionen:

  • Herkunftsnachweis. Wenn die Daten mit dem öffentlichen Schlüssel entschlüsselt werden könnten, muss sie mit dem entsprechenden privaten Schlüssel verschlüsselt worden sein – und das digitale Zertifikat sagt, wer den privaten Schlüssel besitzt.
  • Authentizität. Wenn jemand die verschlüsselten Daten während der Übertragung geändert hat, könnte der Empfänger sie nicht entschlüsseln, auch wenn er den öffentlichen Schlüssel verwendet. Die Tatsache, dass die Daten erfolgreich entschlüsselt werden können, zeigt, dass sie nicht manipuliert wurde.

Die Verwendung von Kryptografie mit öffentlichem Schlüssel auf diese Weise, um den Ursprung und die Authentizität von Daten zu beweisen, wird als digitale Signatur bezeichnet.

Aber was stellt sicher, dass der private Schlüssel wirklich zur Person gehört, die im digitalen Zertifikat aufgeführt ist?
Digitale Zertifikate werden von Organisationen generiert und digital signiert, die als Zertifizierungsstellen bezeichnet werden. Es ist die Aufgabe einer Zertifizierungsstelle, die Identität der Person zu überprüfen, die ein digitales Zertifikat anfordert, bevor sie sie ausstellen.

Was ist in diesem Fall mit den Zertifikaten falsch?
Eine Zertifizierungsstelle, VeriSign, hat fälschlicherweise zwei digitale Zertifikate an eine Person ausgestellt, die behauptet hat, ein Microsoft-Mitarbeiter zu sein. Die Zertifikate sagen, dass der Besitzer des Zertifikats Microsoft ist, wenn dies tatsächlich nicht der Fall ist.

Dies sind also keine bona fide Microsoft-Zertifikate?
Das ist richtig. Keines der Microsoft-Zertifikate wurde kompromittiert. Hierbei handelt es sich um neue Zertifikate, die VeriSign falsch ausgestellt haben und falsch sagen, dass Microsoft sie besitzt.

Wenn Microsoft diese Zertifikate nicht besitzt, wer macht?
Die Identität der Person, die die Zertifikate erworben hat, ist zurzeit nicht bekannt. Sowohl VeriSign als auch Microsoft arbeiten jedoch eng mit Strafverfolgungsbehörden zusammen, um die Person zu finden, da es scheint, dass während des Kaufs dieser Zertifikate möglicherweise mehrere Gesetze unterbrochen wurden.

Wenn Microsoft diese Zertifikate nicht ausgibt, warum ist es an der Behebung des Problems beteiligt?
Microsoft ist an diesem Problem beteiligt, da es sich um den Namen von Microsoft in den Zertifikaten handelt, die VeriSign ausgestellt hat, und es handelt sich um Microsoft-Kunden, die von ihnen beschädigt werden. Microsoft hat ein langjähriges Engagement für den Schutz der Sicherheit seiner Kunden und führt die hier beschriebenen Schritte als Teil dieses Engagements aus.

Wofür könnten diese beiden Zertifikate verwendet werden?
Diese Zertifikate sind von einem Typ, der zum digitalen Signieren von Programmen verwendet werden kann, einschließlich ActiveX-Steuerelemente und Office-Makros. Viele Softwareentwickler, einschließlich Microsoft, signieren die von ihnen erstellten Programme digital, um Kunden zu versichern, dass die Programme legitim sind und nicht geändert wurden.

Könnten die Zertifikate für andere Zwecke verwendet werden?
Nein Alle digitalen Zertifikate tragen eine Kennzeichnung, die einschränkt, wofür sie verwendet werden können. Diese speziellen Zertifikate können nur zum digitalen Signieren von Programmen verwendet werden. Sie können nicht verwendet werden, um Daten zu verschlüsseln, E-Mails zu signieren, sich bei Windows 2000-Systemen anzumelden oder andere Aktionen außer dem Signieren von Programmen auszuführen.

Wie kann ein Angreifer diese Zertifikate verwenden?
Das Allgemeine Ziel des Angreifers wäre es sehr wahrscheinlich, andere Benutzer zu überzeugen, ein unsicheres Programm auszuführen, indem sie die digitale Signatur verwenden, um sie zu überzeugen, dass es tatsächlich bona fide Microsoft-Software ist und daher sicher ausgeführt werden kann. Es gibt eine Vielzahl von Szenarien, die der Angreifer verwenden könnte, um dies zu erreichen, aber wenn das Ziel des Angreifers böswilligen Code weit verteilt wurde, wären einige Szenarien wahrscheinlich besonders attraktiv. Der Angreifer würde wahrscheinlich ein Angriffsszenario verwenden, das darauf ausgelegt ist, das Programm an eine große Anzahl von Benutzern zu übermitteln, z. B. das Hosten des signierten Programms auf einer Website oder das Senden einer HTML-E-Mail, die es von einer Website abrufen würde. Es ist auch wahrscheinlich, dass er sich entscheiden würde, das Programm entweder als ActiveX-Steuerelement oder als Office-Dokument mit einem signierten Makro zu verpacken, da dies ihm ermöglicht würde, die Ausführung des Programms automatisch zu initiieren, sobald ein Benutzer entweder die Webseite besucht oder die HTML-E-Mail geöffnet hat.

Haben Sie gesagt, dass der Angreifer das signierte Programm automatisch ausführen könnte?
Nein Es gibt eine feine Unterscheidung zwischen dem Initiieren der Ausführung eines Programms und der tatsächlichen Ausführung eines Programms, und es lohnt sich, ein paar Momente mit dem Unterschied zu diskutieren. Aus Sicht des Angreifers besteht das Problem darin, einfach ein signiertes Programm als Anlage an eine E-Mail zu senden oder als Datei auf einer Website zu hosten, dass er den Benutzer überzeugen muss, das Programm auszuwählen und absichtlich zu führen. Dies ist nicht unmöglich zu erreichen - erleben Sie den Erfolg des I Love You Virus, zum Beispiel, was genau dies getan hat - aber der Angreifer möchte eine Methode, die die Anzahl der Schritte minimiert, die der Benutzer ausführen muss, um das Programm auszuführen. Webseiten und HTML-E-Mails können ActiveX-Steuerelemente automatisch initiieren und Word-Dokumente automatisch öffnen (es sei denn, der Benutzer hat zuvor das Office Document Open Confirmation Tool installiert). In beiden Fällen würde jedoch ein warnender Dialog ähnlich dem folgenden angezeigt, bevor das Programm tatsächlich gestartet wurde. Der Dialog würde den Benutzer fragen, ob das Programm ausgeführt werden kann. Die Gefahr ist natürlich, dass der Dialog sagen würde, dass das Programm digital von Microsoft signiert wurde, und sogar ein sicherheitsbewusster Benutzer könnte zustimmen, es laufen zu lassen.

Angenommen, ich habe zuvor gesagt, dass inhalte, die von Microsoft signiert wurden, immer vertrauenswürdig sind. Würde ich immer noch einen Warndialog sehen?
Auch wenn Sie bereits gesagt haben, microsoftsignierte Programme immer zu vertrauen, würden Sie immer noch mindestens einmal einen Warndialog sehen. Dies liegt daran, dass die Vertrauensstellung pro Zertifikat und nicht pro Name zugewiesen wird. Das heißt, Sie können angeben, dass Sie einem bestimmten Zertifikat vertrauen, da der Name darin Microsoft ist, aber es gibt keine Möglichkeit, zu sagen, dass Sie allen Zertifikaten vertrauen möchten, die Microsoft auf ihnen sagen. Dies ist die Folgende: Obwohl die beiden gefälschten Zertifikate sagen, dass sie Microsoft-Zertifikate sind, sind sie standardmäßig nicht vertrauenswürdig. Sie sehen den Warndialog beim ersten Auftreten eines Programms, das mit einem dieser Zertifikate signiert ist, und wird es weiterhin sehen, es sei denn, Sie wählen "Immer vertrauenswürdige Inhalte von Microsoft Corporation" als Reaktion auf den Warndialog aus.

Was tut Microsoft bei diesem Problem?
Obwohl dieses Problem nicht auf einen Fehler in einem Microsoft-Produkt resultiert, haben wir dennoch ein Update entwickelt, das Kunden dabei hilft, sicherzustellen, dass von den beiden Zertifikaten signierte Inhalte als ungültig erkannt werden.

Warum verweisen Sie darauf als Update? Ist es kein Patch?
Nein Ein Patch korrigiert einen Fehler in einer Software. In diesem Fall gibt es jedoch keinen Fehler in einem Microsoft-Produkt.

Wenn es keinen Fehler in Microsoft-Software gibt, warum veröffentlichen Sie neue Software?
Es gibt eine Standardprozedur, mit der VeriSign verhindert werden soll, dass diese Zertifikate akzeptiert werden, wenn sie verwendet werden. Microsoft-Produkte unterstützen dieses Verfahren, aber ein Fehler beim Erstellen von VeriSign-Codesignaturzertifikaten verhindert, dass es in diesem Fall wirksam wird. Jeder Zertifikataussteller generiert in regelmäßigen Abständen eine Zertifikatsperrliste (Certificate Revocation List, CRL), die alle Zertifikate auflistet, die als ungültig angesehen werden sollten. Jedes Zertifikat sollte einen Teil der Daten bereitstellen, die als CRL Distribution Point (CDP) bezeichnet werden. Diese Daten geben den Speicherort an, von dem die CRL abgerufen werden kann. Das Problem besteht darin, dass VeriSign-Codesignaturzertifikate keine CDP-Informationen bereitstellen. Daher ist es nicht möglich, dass Systeme diese beiden Zertifikate automatisch herunterladen und überprüfen können, obwohl VeriSign diese beiden Zertifikate zur aktuellen CRL hinzugefügt hat. Unser Update entschädigt diese Auslassung in den VeriSign-Zertifikaten.

Was geschieht mit dem Update?
Das Update führt die folgenden Aktionen aus:

  • Installiert eine CRL auf dem lokalen Computer. Die CRL listet die beiden gefälschten Zertifikate als widerrufen auf.
  • Fügt neue Funktionen über einen Softwareteil, der als installierbarer Sperrhandler bezeichnet wird, hinzu, der bewirkt, dass das System die CRL auf dem Computer überprüft, wenn die CDP-Daten fehlen oder ungültig sind.
  • Aktiviert die CRL-Überprüfung in IE auf die Zertifikate des Softwareherausgebers.

Auf welchen Versionen von Windows kann das Update installiert werden?
Aufgrund des Risikos, das dieses Problem darstellt, hat Microsoft den ungewöhnlichen Schritt unternommen, ein Update für jedes seit 1995 erstellte Windows-Betriebssystem zu erstellen, unabhängig davon, ob es normalerweise unterstützt wird oder nicht. Der Abschnitt "Weitere Informationen zu diesem Patch" enthält spezifische Versions- und Service Pack-Informationen.

Welche Auswirkungen hat die Installation des Updates?
Nachdem Sie das Update installiert haben, wird der Warndialog nicht mehr angezeigt, in dem Sie gefragt werden, ob das Programm ausgeführt werden soll. Stattdessen wird ein Dialog angezeigt, in dem Sie darüber informiert werden, dass das Zertifikat widerrufen wurde und dass das Programm nicht als vertrauenswürdig eingestuft werden kann. Unter Windows Me oder Windows 2000 wird beispielsweise ein Dialog wie der unten aufgeführte angezeigt. Die Dialoge in anderen Versionen von Windows sind ähnlich.

Wäre es mir trotzdem möglich, das Programm auszuführen?
Die Standardauswahl besteht darin, die Ausführung des Programms zu verhindern. Es ist möglich, diese Auswahl außer Kraft zu setzen, aber es wird dringend empfohlen. Die Tatsache, dass ein Zertifikat von seinem Aussteller widerrufen wurde, spricht über seine Unvertrauenswürdigkeit.

Angenommen, ich hatte zuvor ein Programm gefunden, das mit einem dieser Zertifikate signiert wurde und sagte, dass ich es vertrauen wollte. Wenn ich anschließend ein Programm gefunden habe, das mit demselben Zertifikat signiert wurde, würde mir das Update helfen?
Der Sperrstatus eines Zertifikats hat Vorrang vor seinem Vertrauensstatus. Dies bedeutet, dass selbst wenn Sie zuvor gesagt haben, dass Sie einem der Zertifikate vertrauen, würde das Update eine Meldung anzeigen, die besagt, dass es nicht vertrauenswürdig war, wenn Sie später etwas signiert haben, das sie verwendet hat. Dies ist jedoch nicht das Heilmittel, das es anfänglich scheinen zu sein. Denken Sie daran, dass die Möglichkeit, einem Zertifikat zu vertrauen, teil des Warndialogs ist, der angezeigt wird, wenn ein signiertes Programm von einer Website oder HTML-E-Mail initiiert wird. Obwohl es keine Anforderung ist, das Programm ausführen zu lassen, wenn Sie das Feld "Immer vertrauen" auswählen, ist es äußerst unwahrscheinlich, dass jemand dem Zertifikat vertrauen würde, aber nicht zulassen würde, dass das Programm ausgeführt werden kann. Wenn Sie also zugestimmt haben, einem der beiden Zertifikate zu vertrauen, ist es sehr wahrscheinlich, dass Sie einem Programm, das mit dem Zertifikat signiert ist, die Ausführung auf Ihrem System gestattet haben. Es ist kaum wichtig, dass das Update Sie benachrichtigen würde, wenn Sie versucht haben, ein Programm auszuführen, das mit demselben Zertifikat signiert ist, da Ihr System vom ersten Programm vollständig kompromittiert worden sein könnte.

Ich möchte das Update nicht installieren. Gibt es weitere Schritte, die ich ausführen kann, um mein System zu schützen?
Die beste Möglichkeit zum Schutz Ihres Systems besteht darin, das Update zu installieren, aber es gibt immer noch Dinge, die Sie tun können, um Ihr System zu schützen:

  • Wenn ein Dialog angezeigt wird, in dem Sie gefragt werden, ob Sie von Microsoft signierten Inhalt vertrauen möchten, überprüfen Sie das Zertifikat visuell, und überprüfen Sie, ob es sich nicht um einen der gefälschten Inhalte handelt.
  • Stellen Sie sicher, dass Sie das Outlook-E-Mail-Sicherheitsupdate und das Office Document Open Confirmation Tool installiert haben.

Wie kann ich die Zertifikate visuell prüfen?
Wie oben beschrieben, sehen Sie immer einen Warndialog, wenn eine Website oder E-Mail versucht, ein Programm auszuführen, das von einem Zertifikat signiert wurde, das dem System nicht bekannt ist – auch wenn das Zertifikat besagt, dass es sich im Besitz von Microsoft befindet. (Wenn Sie dem Zertifikat vertrauen möchten, wird die Warnung natürlich nicht mehr angezeigt). Dieser Dialog bietet eine Option zum Anzeigen des Zertifikats durch Klicken auf den Namen des Signierers. Indem Sie die Informationen im Zertifikat prüfen, können Sie ganz einfach feststellen, ob es sich um einen der beiden gefälschten handelt. Wenn das Programm von einem dieser Zertifikate signiert wurde, sollten Sie es nicht ausführen. Hier sind Screenshots der beiden gefälschten Zertifikate:

Der Screenshot listet den Schutz von E-Mail-Nachrichten als einen der beabsichtigten Zwecke auf, aber Sie haben gesagt, dass sie nur zum Signieren von Programmen verwendet werden konnten. Was ist richtig?
Die "ausgestellten" Informationen sind die autoritativen Daten und nicht die "beabsichtigten Zwecke". Da das Zertifikat von der VeriSign Commercial Software Publisher CA ausgestellt wurde, kann es nur zum Signieren von Programmen verwendet werden, unabhängig davon, welche anderen Abschnitte des Zertifikats sagen können.

Wie würde das Outlook-E-Mail-Sicherheitsupdate zum Schutz meines Systems beitragen?
Das Outlook-E-Mail-Sicherheitsupdate verhindert, dass HTML-Mails ActiveX-Steuerelemente starten, auch wenn sie digital signiert wurden. Durch die Installation des Updates können Sie sicherstellen, dass Sie vor der E-Mail-übertragenen Version dieses Angriffs geschützt sind. Wenn Sie das Update noch nicht installiert haben, führen Sie es heute aus.

Wie würde das Office Document Open Confirmation Tool zum Schutz meines Systems beitragen?
Das Office Document Open Confirmation Tool verhindert, dass Websites und HTML-E-Mails Office-Dokumente wie Word-Dateien ohne Ihre Zustimmung öffnen können. Dies würde die Ausführung eines digital signierten Word-Makros erschweren.

Ich hoste die vollständige VeriSign-CRL auf meinem System. Muss ich beim Installieren des Updates besondere Maßnahmen ergreifen?
Ja. Wenn Sie bereits eine lokale CRL hosten, sollten Sie beachten, dass das Update es mit der darin enthaltenen CRL überschreibt. Nach der Installation des Updates müssen Sie eine neue Kopie der vollständigen VeriSign-CRL herunterladen und installieren. Außerdem sollten Sie sich der Standard Last bewusst sein, die mit dem Hosten der vollständigen CRL verbunden ist. Wie die meisten Zertifikatherausgeber-CRLs ist die vollständige VeriSign-CRL kurzlebig. Es gilt nur für etwa eine Woche ab dem Ausstellungsdatum. Das System verwendet keine abgelaufene CRL, daher müssen Sie regelmäßig eine aktualisierte CRL herunterladen und installieren. Im Gegensatz dazu hat die vom Update installierte CRL eine sehr lange Lebensdauer, und wenn Sie es verwenden, müssen Sie es nicht jemals aktualisieren.

Was geschieht, wenn ich mein System zu einem bestimmten Zeitpunkt aktualisiere? Muss ich das Update erneut anwenden?
Möglicherweise müssen Sie. Alle derzeit bereitgestellten Versionen von Windows und Internet Explorer – d. h. Versionen von Windows gleich oder früher als Windows XP Beta 2, Windows 2000 Service Pack 1 und Windows Me sowie Versionen von Internet Explorer gleich oder früher als IE 5.5 (unabhängig von Service Pack) – setzen bestimmte Parameter zurück, wenn sie installiert werden, und dies hat die Auswirkung auf das Deaktivieren des Updates. Wenn Sie Windows oder IE auf eine dieser Versionen aktualisieren, müssen Sie das Update nach dem Upgrade erneut anwenden. Im Gegensatz dazu setzt Windows XP Gold, Windows 2000 ab Service Pack 2 und Internet Explorer 6 diese Parameter nicht mehr zurück. Daher ist es nicht erforderlich, das Update beim Upgrade auf diese Versionen oder höher erneut zu installieren.

Wenn mehrere Benutzer einen Computer gemeinsam nutzen, müssen die einzelnen Benutzer das Update installieren?
Nein Nur ein Administrator kann das Update installieren, aber sobald es auf einem Computer installiert ist, wird es für alle Benutzer wirksam, die sich anmelden.

Ich habe gehört, dass die im Update enthaltene CRL drei Einträge enthält. Doch es gibt nur zwei gefälschte Zertifikate. Warum gibt es einen dritten Eintrag in der CRL?
Der dritte Eintrag in der CRL ist ein bona fide Microsoft-Zertifikat, das wir absichtlich widerrufen haben, um das Testen des Updates zu unterstützen. Während eines Großteils der obigen Diskussion waren wir in unserer Terminologie etwas lax und haben diskutiert, indem wir ein digitales Zertifikat verwenden, um ein Programm zu signieren. Denken Sie jedoch daran, dass ein digitales Zertifikat nur eine digitale Signatur überprüft – es kann nicht verwendet werden, um eine zu erstellen. Eine digitale Signatur wird mit dem privaten Schlüssel erstellt, der dem digitalen Zertifikat zugeordnet ist. Das Problem besteht darin, dass wir zwar eine Kopie der beiden Zertifikate haben, aber die ihnen zugeordneten privaten Schlüssel sind in den Händen der Person, die sie gekauft hat. Das bedeutet, dass niemand außer dieser Person Programme digital signieren kann. Wir mussten jedoch unser Update anhand von Programmen testen, die mit einem widerrufenen Zertifikat signiert wurden. Daher haben wir absichtlich ein vorhandenes Microsoft-Testzertifikat widerrufen, es in die CRL aufgenommen und dann Programme mit dem zugeordneten privaten Schlüssel dieses Zertifikats signiert. Wir haben diese signierten Programme verwendet, um unser Update zu testen.

Ist es möglich, zu überprüfen, ob das Update ordnungsgemäß funktioniert?
Ja. Es gibt hierbei zwei Möglichkeiten. Die einfachste Möglichkeit besteht darin, zu überprüfen, ob die vom Patch installierten Dateien tatsächlich auf Ihrem Computer vorhanden sind. Gehen Sie hierzu folgendermaßen vor:

  • Stellen Sie sicher, dass die Datei "verisignpub1.crl" auf dem Computer vorhanden ist.
  • Stellen Sie sicher, dass die CRL-Überprüfung auf Codesignaturzertifikate aktiviert ist. Wählen Sie in IE "Extras" und dann "Internetoptionen" aus. Wählen Sie die Registerkarte "Erweitert" aus, scrollen Sie dann zum Abschnitt "Sicherheit", und vergewissern Sie sich, dass "Auf Zertifikatsperrung des Herausgebers überprüfen" ausgewählt wurde.

Es ist auch eine Datei verfügbar, die mit dem in der vorherigen Frage erläuterten Testzertifikat signiert wurde. Wenn Sie diese Datei herunterladen und die Signatur überprüfen, können Sie überprüfen, ob das Update ordnungsgemäß funktioniert. Die Datei ist verfügbar unter https://www.microsoft.com/download/details.aspx?FamilyId=BE633CFA-CA61-4D47-8F2D-537FEE155F26& displaylang;=en. Wenn Sie diese Datei herunterladen möchten, denken Sie daran, dass diese Datei, wie alle Inhalte, die mit einem widerrufenen Zertifikat signiert sind, niemals ausgeführt oder installiert werden sollte. Es sollte nur verwendet werden, um zu überprüfen, ob das Update ordnungsgemäß funktioniert und dann gelöscht werden sollte. Überprüfen Sie nach dem Herunterladen der Datei in einen Ordner die Signatur wie folgt:

  • Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie Eigenschaften.
  • Wählen Sie die Registerkarte "Digitale Signaturen" aus.
  • Klicken Sie in der Signaturliste mit einem Klick auf den Namen des Signierers ("Microsoft Corp (Nur Test)"), und klicken Sie dann auf die Schaltfläche "Details".
  • Wenn der resultierende Dialog besagt, dass das Zertifikat vom Aussteller widerrufen wurde, funktioniert der Patch ordnungsgemäß.

Ich habe eine E-Mail erhalten, die behauptete, von Microsoft zu stammen und ein Programm als Anlage enthielt. Könnte es bona fide sein?
Nein Microsoft hat eine strenge Richtlinie gegen das senden von Programmen, Sicherheitspatches oder anderen Arten von ausführbaren Inhalten per E-Mail. Wir vertreiben unsere Software über unsere Website oder auf physischen Medien wie CD ROMs. Wenn Sie eine solche E-Mail erhalten, führen Sie die Anlage nicht aus.

Kann ich feststellen, ob ich jemals ein Programm ausgeführt habe, das mit einem der Zertifikate signiert ist?
Es ist möglich, ihr System auf Zeichen zu überprüfen, die angeben, dass Sie ein solches Programm ausgeführt haben. Eine Möglichkeit hierfür ist die Verwendung eines Tools, das Ihre Festplatte auf alle Inhalte überprüft, die mit beiden Zertifikaten signiert sind. Mehrere Antivirenanbieter entwickeln solche Tools. Eine weitere Möglichkeit besteht darin, die Systemregistrierung zu überprüfen, um zu ermitteln, ob sich beide Zertifikate in der Liste der vertrauenswürdigen Zertifikate befindet. Im Microsoft Knowledge Base-Artikel Q293816 wird erläutert, wie dies zu tun ist. Das Vorhandensein signierter Inhalte auf Ihrem System oder das Vorhandensein eines zertifikats in der Liste der vertrauenswürdigen Inhalte sollte als Hinweis darauf verwendet werden, dass Sie ein Programm ausgeführt haben, das von einem dieser Zertifikate signiert ist. Es ist jedoch wichtig zu verstehen, dass das Fehlen einer dieser Indikatoren nicht beweist, dass Sie kein Programm ausgeführt haben, das mit einem dieser Zertifikate signiert ist. Ein Angreifer könnte beispielsweise ein signiertes Programm erstellen, das, wenn er ausgeführt wird, nicht signierte Programme auf die Festplatte herunterladen, ausführen und alle Ablaufverfolgungen von sich selbst aus dem System löschen würde.

Wenn ich feststellt, dass ich ein Programm ausgeführt habe, das mit einem dieser Zertifikate signiert ist, was sollte ich tun?
Microsoft wird dieses Problem weiterhin aggressiv untersuchen, und wir würden sehr daran interessiert sein, alle Programme zu prüfen, die mit diesen Zertifikaten signiert wurden. Wenn Sie auf ein solches Programm stoßen, senden Sie bitte eine E-Mail an das Microsoft Security Response Center ().

Als ich dieses Problem gelernt habe, habe ich das Zertifikat der VeriSign Commercial Software Publisher CA aus meinem vertrauenswürdigen Stammspeicher entfernt. Nachdem das Update verfügbar ist, wie kann ich das Zertifikat erneut einrichten?
Der Knowledge Base-Artikel Q293819 erläutert, wie dies zu tun ist.

Patch-Verfügbarkeit

Downloadspeicherorte für diesen Patch

Weitere Informationen zu diesem Patch

Installationsplattformen:

Das Update wurde auf den folgenden Betriebssystemen getestet, wenn Internet Explorer 4.01 Service Pack 2, Internet Explorer 5.01 Service Pack 1 oder Service Pack 2 oder Internet Explorer 5.5 Service Pack 1 ausgeführt wird:

  • Windows 95

  • Windows 98

  • Windows 98 Second Edition

  • Windows Me

  • Windows NT 4.0 Workstation Service Pack 4, Service Pack 5 oder Service Pack 6a.

  • Windows NT 4.0 Server und Server, Enterprise Edition, Service Pack 4, Service Pack 5 oder Service Pack 6a.

  • Windows NT 4.0 Server, Terminal Server Edition, Service Pack 4, Service Pack 5 oder Service Pack 6.

  • Windows 2000 Professional, Server, Advanced Server oder Datacenter Server Gold oder Service Pack 1.

  • Windows XP Beta 2

    Hinweis: Das Update kann auf einer beliebigen Version von Internet Explorer installiert werden, wurde jedoch nur in Verbindung mit den oben aufgeführten Versionen getestet. Es funktioniert nicht auf einem System, das eine Version von Internet Explorer vor IE 4.0 verwendet. Microsoft empfiehlt dringend, dass Kunden vor der Installation des Updates ein Upgrade auf IE 5 oder höher durchführen, um das zweite Problem zu vermeiden, das im Abschnitt "Einschränkungen" weiter unten erläutert wird.

Aufnahme in zukünftige Service Packs:

Das Update wird in Windows XP Gold und Windows 2000 Service Pack 2 sowie in Internet Explorer 6 enthalten sein.

Überprüfen der Patchinstallation:

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Update ordnungsgemäß installiert wurde:

  • Stellen Sie sicher, dass die Datei "verisignpub1.crl" auf dem Computer vorhanden ist.

  • Stellen Sie sicher, dass die CRL-Überprüfung auf Codesignaturzertifikate aktiviert ist. Wählen Sie in IE "Extras" und dann "Internetoptionen" aus. Wählen Sie die Registerkarte "Erweitert" aus, scrollen Sie dann zum Abschnitt "Sicherheit", und vergewissern Sie sich, dass "Auf Zertifikatsperrung des Herausgebers überprüfen" ausgewählt wurde.

    Darüber hinaus ist eine Datei verfügbar, die mit einem Testzertifikat signiert wurde, das über das Update widerrufen wird. Die häufig gestellten Fragen enthalten Informationen zum Abrufen und Verwenden der Datei zum Überprüfen des Vorgangs des Updates.

Einschränkungen:

  • Das Update muss nach dem Upgrade einer Windows-Version vor Windows XP Gold, Windows 2000 Service Pack 2 oder Internet Explorer 6 erneut installiert werden.
  • Kunden, die manuell eine lokale Kopie der VeriSign-CRL anstelle der mit dem Update bereitgestellten CRL verwenden möchten, sollten beachten, dass die vollständige VeriSign-CRL kurzlebig ist und wöchentlich aktualisiert werden muss.
  • Kunden, die die vollständige VeriSign-CRL vor der Installation des Updates manuell installiert haben, sollten anschließend eine neue Version der CRL installieren.

Lokalisierung:

Das Update ist nicht sprachspezifisch. Sie kann auf Systemen mit einer beliebigen Sprache installiert werden.

Abrufen anderer Sicherheitspatches:

Patches für andere Sicherheitsprobleme stehen an den folgenden Speicherorten zur Verfügung:

  • Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten gefunden werden, indem sie eine Schlüsselwort (keyword) Suche nach "security_patch" durchführen.
  • Patches sind auch auf der WindowsUpdate-Website verfügbar.

Weitere Informationen:

Unterstützungswert:

  • Microsoft Knowledge Base-Artikel Q293818 behandelt dieses Problem und wird ungefähr 24 Stunden nach der Veröffentlichung dieses Bulletins verfügbar sein. Knowledge Base-Artikel finden Sie auf der Microsoft Online Support-Website .
  • Technischer Support steht von Microsoft-Produktsupportdiensten zur Verfügung. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitspatches zugeordnet sind.

Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • V1.0 (22. März 2001): Bulletin Created.
  • V2.0 (28. März 2001): Bulletin aktualisiert, um die Verfügbarkeit von Updates zu beraten.
  • V2.1 (09. April 2001): Informationen zur Hinzugefügten Überprüfungsdatei.
  • V2.2 (28. Februar 2003): Aktualisierter Link zum Outlook-Sicherheitsupdate
  • V2.3 (23. Juni 2003): Aktualisierte Windows Update-Downloadlinks.

Gebaut am 2014-04-18T13:49:36Z-07:00