安全公告
Microsoft 安全咨询2916652
颁发不当的数字证书可能允许欺骗
发布时间: 2013 年 12 月 9 日 |更新时间:2014 年 1 月 15 日
版本: 2.1
常规信息
执行摘要
Microsoft 知道错误的从属 CA 证书,该证书可用于试图欺骗内容、执行网络钓鱼攻击或执行中间人攻击。 下属 CA 证书由财政部总局(DG Trésor)不当颁发,隶属于法国政府 CA(ANSSI),该证书是受信任的根证书颁发机构商店中的 CA。 此问题会影响 Microsoft Windows 的所有受支持版本。 Microsoft 当前不知道与此问题相关的攻击。
错误颁发的从属 CA 证书被滥用,用于为多个站点(包括 Google Web 属性)颁发 SSL 证书。 这些 SSL 证书可用于欺骗内容、执行钓鱼攻击,或针对多个 Google Web 属性执行中间人攻击。 从属 CA 证书还可用于颁发其他当前未知站点的证书,这些站点可能受到类似的攻击。
为了帮助保护客户免受此数字证书的潜在欺诈性使用,Microsoft 正在更新所有受支持的 Microsoft Windows 版本的证书信任列表(CTL),以删除导致此问题的证书的信任。 有关这些证书的详细信息,请参阅 此公告的常见问题解答 部分。
建议。 吊销证书的自动更新程序包含在 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 的支持版本中,以及运行 Windows 电话 8 的设备。 对于这些操作系统和设备,客户无需采取任何操作,因为这些系统和设备将自动受到保护。
对于运行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的系统(使用已吊销证书的自动更新程序(有关详细信息,请参阅 Microsoft 知识库文章2677070 ),客户无需采取任何操作,因为这些系统将自动受到保护。
对于运行 Windows XP 或 Windows Server 2003 的客户,或者对于选择不安装吊销证书自动更新程序的客户,Microsoft 建议使用更新管理软件立即应用 2917500 更新,方法是使用 Microsoft 更新服务检查更新,或者手动下载和应用更新。 有关详细信息,请参阅 此公告的“建议的操作” 部分。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| Microsoft 知识库文章 | 2917500 |
受影响的软件
此公告讨论以下软件。
| 受影响的软件 |
|---|
| 操作系统 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium 基于系统的 SP2 |
| Windows Vista Service Pack 2 |
| Windows Vista x64 版本 Service Pack 2 |
| Windows Server 2008 for 32 位系统 Service Pack 2 |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 |
| 基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 |
| Windows 7 for 32 位系统 Service Pack 1 |
| 基于 x64 的系统 Service Pack 1 的 Windows 7 |
| 基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 |
| 适用于 32 位系统的 Windows 8 |
| 基于 x64 的系统 Windows 8 |
| 适用于 32 位系统的 Windows 8.1 |
| 基于 x64 的系统版 Windows 8.1 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| 服务器核心安装选项 |
| Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装) |
| 基于 x64 的系统 Service Pack 2 的 Windows Server 2008 (服务器核心安装) |
| 适用于基于 x64 的系统(服务器核心安装)的 Windows Server 2008 R2 |
| Windows Server 2012 (服务器核心安装) |
| Windows Server 2012 R2 (服务器核心安装) |
| 受影响的设备 |
| Windows Phone 8 |
咨询常见问题解答
公告的范围是什么?
此公告的目的是通知客户 DG Trésor 错误地颁发了从属 CA 证书,并且此从属 CA 证书已被滥用,以颁发多个站点(包括 Google Web 属性)的 SSL 证书。 这些 SSL 证书可用于欺骗内容、执行钓鱼攻击,或针对多个 Google Web 属性执行中间人攻击。 从属 CA 证书还可用于颁发其他当前未知站点的证书,这些站点可能受到类似的攻击。
导致此问题的原因是什么?
从属 CA 证书由财政部总局(DG Trésor)不当颁发,隶属于法国政府 CA(ANSSI),该证书是受信任的根证书颁发机构商店中的 CA。
此更新是否解决了任何其他数字证书? 是的,除了解决此公告中所述的证书外,此更新是累积的,包括前面公告中所述的数字证书:
- Microsoft 安全咨询2524375
- Microsoft 安全咨询2607712
- Microsoft 安全咨询2641690
- Microsoft 安全咨询2718704
- Microsoft 安全咨询2728973
- Microsoft 安全咨询2798897
什么是加密?
加密是通过在正常、可读状态(称为纯文本)之间转换信息来保护信息的科学,其中数据被遮盖(称为密码文本)。
在所有形式的加密中,称为密钥的值与称为加密算法的过程结合使用,将纯文本数据转换为密码文本。 在最熟悉的加密类型中,使用同一密钥加密将密码文本转换回纯文本。 但是,在另一种类型的加密中,公钥加密用于将密码文本转换回纯文本。
什么是数字证书? 在 公钥加密中,密钥之一(称为私钥)必须保密。 另一个密钥(称为公钥)旨在与世界共享。 但是,密钥所有者必须有办法告诉世界密钥属于谁。 数字证书提供了执行此操作的方法。 数字证书是一个防篡改数据片段,可将公钥打包在一起,以及其相关信息(谁拥有它、其用途、到期时间等)。
用于哪些证书?
证书主要用于验证人员或设备的标识、对服务进行身份验证或加密文件。 通常无需考虑证书。 但是,你可能会看到一条消息,告知证书已过期或无效。 在这些情况下,应按照消息中的说明进行操作。
什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。 他们建立并验证属于人员或其他证书颁发机构的公钥的真实性,并验证要求证书的人员或组织的身份。
什么是证书信任列表(CTL)? 签名邮件的收件人与邮件的签名者之间必须存在信任。 建立此信任的一种方法是通过证书,一个电子文档,用于验证实体或人员是否属于他们声称。 证书由其他两方信任的第三方颁发给实体。 因此,签名邮件的每个收件人都决定签名者的证书颁发者是否可信。 CryptoAPI 实现了一种方法,允许应用程序开发人员创建应用程序,以针对受信任的证书或根的预定义列表自动验证证书。 此受信任实体列表(称为使用者)称为证书信任列表(CTL)。 有关详细信息,请参阅 MSDN 文章“ 证书信任验证”。
攻击者可能会对这些证书执行哪些操作?
攻击者可以使用这些证书欺骗内容、执行网络钓鱼攻击,或针对以下 Web 属性执行中间人攻击:
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期用户通信。
Microsoft 在解决此问题时有什么帮助?
尽管此问题并非由任何 Microsoft 产品中的问题导致,但我们仍在更新 CTL 并提供更新来帮助保护客户。 Microsoft 将继续调查此问题,并可能会对 CTL 进行将来的更改,或发布将来的更新以帮助保护客户。
应用更新后,如何验证 Microsoft 不受信任的证书存储中的证书?
对于 Windows Vista、Windows 7、Windows Server 2008、 和使用已吊销证书自动更新器的 Windows Server 2008 R2 系统(有关详细信息,请参阅 Microsoft 知识库文章2677070),以及 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 系统,可以在事件查看器中检查应用程序日志,以获取具有以下值的条目:
- 来源:CAPI2
- 级别:信息
- 事件 ID:4112
- 说明:成功自动更新包含生效日期的不允许证书列表:2013 年 12 月 5 日星期一(或更高版本)。
对于未使用已吊销证书的自动更新程序的系统,在 “证书 MMC 管理单元”中,验证是否已将以下证书添加到 “不受信任的证书 ”文件夹中:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| AC DG Trésor SSL | AC DGTPE 签名身份验证 | 5c e3 39 46 5f 41 a1 e4 23 14 9f 65 54 40 95 40 4d e6 eb e2 |
注意 有关如何使用 MMC 管理单元查看证书的信息,请参阅 MSDN 文章: 如何使用 MMC 管理单元查看证书。
建议的操作
为受支持的 Microsoft Windows 版本应用更新
吊销证书的自动更新程序包含在 Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012 和 Windows Server 2012 R2 的支持版本中,以及运行 Windows 电话 8 的设备。 对于这些操作系统或设备,客户无需采取任何操作,因为 CTL 将自动更新。
对于运行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的系统(使用吊销证书的自动更新程序(有关详细信息,请参阅 Microsoft 知识库文章2677070 ),客户无需采取任何操作,因为 CTL 将自动更新。
对于运行 Windows XP 或 Windows Server 2003 的客户,或者对于选择不安装吊销证书自动更新程序的客户,Microsoft 建议使用更新管理软件立即应用 2917500 更新,方法是使用 Microsoft 更新服务检查更新,或者手动下载和应用更新。 有关下载链接,请参阅 Microsoft 知识库文章 2917500 。
其他建议的操作
保护电脑
我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心。
使 Microsoft 软件更新保持更新
运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- 亚当·兰利和 谷歌 Chrome 安全团队 将事件引起我们的注意,并与我们合作处理响应
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2013 年 12 月 9 日):已发布公告。
- V2.0(2013 年 12 月 12 日):针对运行 Windows XP 或 Windows Server 2003 的客户或选择不安装已吊销证书自动更新程序的客户发布了 2917500 更新的公告。 2917500 更新可通过 Microsoft 更新服务和下载中心获取。 有关详细信息,请参阅 此公告的“建议的操作” 部分。
- V2.1(2015 年 1 月 15 日):公告已修订,宣布 2917500 年更新中的检测更改。 这只是检测更改。 已成功更新其系统的客户无需采取任何操作。
生成于 2014-04-18T13:49:36Z-07:00