Microsoft Windows Digital Certificates Spoofing Schwachstelle

04. Juni 2012

Microsoft warnt [1] vor Angriffen, die mit Hilfe von unautorisierten digitalen Zertifikaten, die von einer Microsoft Certificate Authority (CA) abgeleitet wurden, durchgeführt werden können. Im Zuge dessen zieht Microsoft 2 digitale Zertifikate zurück.

Hintergrund und Dimensionen

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab.

Beschreibung

Microsoft veröffentlicht ein Security Advisory, das vor Angriffen warnt, die mit Hilfe von unautorisierten digitalen Zertifikaten durchgeführt werden. Das Terminal Server Licensing Service [2] nutzte einen alten kryptographischen Algorithmus und stellte Zeritifkate zur Verfügung, die das Signieren von Code ermöglichten.

Auswirkungen

Ein unautorisiertes Zeritifikat kann dazu verwendet werden, um Spoofing, Phishing oder man-in-the-middle Attacken durchzuführen.

Abhilfe

Microsoft nimmt folgende Schritte[2], um das Risiko einzugrenzen:

  • 1. Schritt: Security Advisory wird veröffentlicht [1]
  • 2. Schritt: Update wird veröffentlicht, das die betroffenen Zertifikate zurückzieht. Die Updates sind bereits verfügbar. Diese empfiehlt CERT.at möglichst zeitnahe einzuspielen. Folgende Zeritifkate sind betroffen:
    Certificate Issued by Thumbprint
    Microsoft Enforced Licensing Intermediate PCA Microsoft Root Authority 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
    Microsoft Enforced Licensing Intermediate PCA Microsoft Root Authority 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
    Microsoft Enforced Licensing Registration Authority CA (SHA1) Microsoft Root Certificate Authority fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97
  • 3. Schritt: Das Terminal Licensing Service ermöglicht es nicht mehr Zeritifkate abzuleiten, mit denen Code signiert werden kann.

Betroffene Systeme

  • Operating System
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Windows 7 for 32-bit Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for Itanium-based Systems
  • Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
  • Server Core installation option
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Affected Devices
  • Windows Mobile 6.x
  • Windows Phone 7
  • Windows Phone 7.5

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.


Informationsquelle(n):

Microsoft Security Advisory (2718704)
[1] http://technet.microsoft.com/en-us/security/advisory/2718704
Blog entry - Microsoft releases Security Advisory 2718704
[2] http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx