无意泄露的数字证书可能导致欺骗攻击
发布日期: 2015年9月24日 | 更新日期: 2015年10月13日
版本: 2.0
执行摘要
2015年9月24日,微软发布此公告,通知客户有关四个意外泄露的数字证书可能被用于欺骗内容,并提供证书信任列表(CTL)更新以移除对这些证书的用户模式信任。据报告,泄露的终端实体证书不能用于颁发其他证书或冒充其他域,但可用于签署代码。此外,相应的证书颁发机构已撤销这四个证书。
在2015年10月13日修订的此公告中,微软宣布为所有受支持的Windows版本提供更新,修改Windows中的代码完整性组件,将证书信任移除扩展到内核模式代码签名。
建议: 请参阅本公告的"建议措施"部分,了解如何为特定Microsoft Windows版本应用更新。请注意,受影响的系统需要同时应用2015年9月24日发布的CTL更新和2015年10月13日发布的Windows更新,才能免受此问题影响。
已知问题: Microsoft知识库文章3097966记录了客户在安装2015年10月13日更新时可能遇到的当前已知问题。该文章还记录了推荐的解决方案。
公告详情
有关此问题的更多信息,请参阅以下参考资料:
| 参考资料 | 标识 |
|---|---|
| 知识库文章 | 3097966 |
受影响的软件
本公告适用于以下操作系统:
Windows Vista
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
Windows Server 2008
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8
- Windows 8 for 32-bit Systems
- Windows 8 for x64-based Systems
Windows Server 2012
- Windows Server 2012
Windows RT
- Windows RT[1]
Windows 8.1
- Windows 8.1 for 32-bit Systems
- Windows 8.1 for x64-based Systems
Windows Server 2012 R2
- Windows Server 2012 R2
Windows RT 8.1
- Windows RT 8.1[1]
Windows 10
- Windows 10 for 32-bit Systems[2] (3097617)
- Windows 10 for x64-based Systems[2] (3097617)
Server Core安装选项
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems (Server Core installation)
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2 (Server Core installation)
受影响的设备
- Windows Phone 8[1]
- Windows Phone 8.1[1]
注意: Windows Server Technical Preview 3受影响。建议运行此操作系统的客户应用可通过Windows Update获得的更新。
[1]Windows Phone 8和Windows Phone 8.1设备自动接收了2015年9月24日的CTL更新;但是,这些设备不允许安装第三方驱动程序(即使已签名),因此不需要2015年10月13日的次要更新。
[2]Windows 10更新是累积性的。除了包含非安全更新外,还包含给定月份安全发布中所有Windows 10受影响漏洞的所有安全修复程序。该更新可通过Windows Update目录获得。有关更多信息和下载链接,请参阅Microsoft知识库文章3097617。
公告常见问题解答
为什么此公告在2015年10月13日修订? 此公告于2015年10月13日修订,通知客户有一个Windows更新可用,该更新修改了Windows中的代码完整性组件,将四个数字证书的信任移除扩展到内核模式代码签名。有关更多信息和下载链接,请参阅Microsoft知识库文章3097966。请注意,受影响的系统需要同时应用2015年9月24日发布的CTL更新和2015年10月13日发布的Windows更新,才能免受本公告中讨论的问题影响。
此公告的范围是什么? 此公告的目的是通知客户有关Windows和证书信任列表(CTL)的更新,以移除对四个数字证书的用户模式信任和内核模式代码签名信任,以及相应的证书颁发机构(CA)已撤销这些证书。
是什么导致了此问题? 此问题是由D-Link Corporation意外发布证书引起的。
CTL更新是否处理其他数字证书? 是的,除了处理本公告中描述的证书外,最初于2015年9月24日发布的CTL更新是累积性的,并包括先前公告中描述的数字证书:
- Microsoft安全公告3050995
- Microsoft安全公告3046310
- Microsoft安全公告2982792
- Microsoft安全公告2916652
- Microsoft安全公告2798897
- Microsoft安全公告2728973
- Microsoft安全公告2718704
- Microsoft安全公告2641690
- Microsoft安全公告2607712
- Microsoft安全公告2524375
什么是密码学? 密码学是通过在正常可读状态(称为明文)和数据被隐藏的状态(称为密文)之间转换来保护信息的科学。
在所有形式的密码学中,一个称为密钥的值与称为加密算法的过程一起使用,将明文数据转换为密文。在最熟悉的密码学类型(秘密密钥密码学)中,使用相同的密钥将密文转换回明文。然而,在第二种密码学类型(公钥密码学)中,使用不同的密钥将密文转换回明文。
什么是数字证书? 在公钥密码学中,其中一个密钥(称为私钥)必须保密。另一个密钥(称为公钥)旨在与世界共享。但是,密钥所有者必须有一种方式告诉世界该密钥属于谁。数字证书提供了一种实现此目的的方式。数字证书是一个防篡改的数据片段,将公钥与其相关信息(谁拥有它、可用于什么、何时过期等)打包在一起。
证书用于什么? 证书主要用于验证个人或设备的身份、验证服务或加密文件。通常,您根本不需要考虑证书。但是,您可能会看到一条消息,告诉您证书已过期或无效。在这些情况下,您应按照消息中的说明操作。
什么是证书颁发机构(CA)? 证书颁发机构是颁发证书的组织。它们建立和验证属于个人或其他证书颁发机构的公钥的真实性,并验证请求证书的个人或组织的身份。
什么是证书信任列表(CTL)? 签名消息的接收者和消息的签名者之间必须存在信任。建立这种信任的一种方法是通过证书(一种验证实体或个人身份的真实性的电子文档)。证书由受其他双方信任的第三方颁发给实体。因此,签名消息的每个接收者决定签名者证书的颁发者是否可信。CryptoAPI实现了一种方法,允许应用程序开发人员创建自动根据预定义的受信任证书或根列表验证证书的应用程序。此受信任实体(称为主体)列表称为证书信任列表(CTL)。有关更多信息,请参阅MSDN文章《证书信任验证》。
攻击者可能使用这些证书做什么? 攻击者可能使用这些证书欺诈性地签署代码。
微软正在采取什么措施帮助解决此问题? 尽管此问题不是由任何Microsoft产品中的问题引起的,但我们仍在更新CTL并提供Windows更新以帮助保护客户。微软将继续调查此问题,并可能将来更改CTL或发布更新以帮助保护客户。
应用CTL更新后,如何验证证书是否在Microsoft不受信任证书存储中? 对于使用自动吊销证书更新程序(详见Microsoft知识库文章2677070)的Windows Vista、Windows 7、Windows Server 2008和Windows Server 2008 R2系统,以及Windows 8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2012、Windows Server 2012 R2和Windows 10系统,您可以在事件查看器中检查应用程序日志,查找具有以下值的条目:
- 源:CAPI2
- 级别:信息
- 事件ID:4112
- 描述:成功自动更新不允许的证书列表,生效日期:2015年9月23日星期三(或更晚)
对于不使用自动吊销证书更新程序的系统,在证书MMC管理单元中,验证以下证书是否已添加到"不受信任的证书"文件夹:
| 证书 | 颁发者 | 指纹 |
|---|---|---|
| DLINK CORPORATION | Symantec Corporation | 3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb |
| Alpha Networks | Symantec Corporation | 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b |
| KEEBOX | GoDaddy.com, LLC | 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c |
| TRENDnet | GoDaddy.com, LLC | db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14 |
注意: 有关如何使用MMC管理单元查看证书的信息,请参阅MSDN文章《如何:使用MMC管理单元查看证书》。
建议措施
应用2015年10月13日发布的3097966更新
大多数客户已启用自动更新,无需采取任何操作,因为3097966更新将自动下载并安装。未启用自动更新的客户需要检查更新并手动安装此更新。有关自动更新中特定配置选项的信息,请参阅Microsoft知识库文章3097966。
对于管理员和企业安装,或希望手动安装3097966更新的最终用户,Microsoft建议客户立即使用更新管理软件应用更新,或通过Microsoft Update服务检查更新。有关如何手动应用更新的信息,请参阅Microsoft知识库文章3097966。
应用2015年9月24日发布的CTL更新(如果尚未应用)
受支持版本的Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows RT 8.1、Windows Server 2012 R2和Windows 10以及运行Windows Phone 8和Windows Phone 8.1的设备中包含自动吊销证书更新程序。对于这些操作系统或设备,客户无需采取任何操作,因为CTL将自动更新。
对于运行Windows Vista、Windows 7、Windows Server 2008或Windows Server 2008 R2且使用自动吊销证书更新程序(详见Microsoft知识库文章2677070)的系统,客户无需采取任何操作,因为这些系统将自动受到保护。
对于运行Windows Vista、Windows 7、Windows Server 2008或Windows Server 2008 R2且未安装自动吊销证书更新程序的系统,此更新不可用。要接收此更新,客户必须安装自动吊销证书更新程序(详见Microsoft知识库文章2677070)。在断开连接的环境中运行Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2或Windows Server 2012的客户可以安装更新2813430以接收此更新(详见Microsoft知识库文章2813430)。
其他建议措施
保护您的PC
我们继续鼓励客户遵循我们的"保护您的计算机"指南:启用防火墙、获取软件更新和安装防病毒软件。有关更多信息,请参阅Microsoft安全中心。
保持Microsoft软件更新
运行Microsoft软件的用户应应用最新的Microsoft安全更新,以帮助确保其计算机得到最大程度的保护。如果您不确定软件是否是最新的,请访问Microsoft Update,扫描计算机以查找可用更新,并安装任何提供的高优先级更新。如果您启用了自动更新并配置为提供Microsoft产品更新,则更新在发布时会交付给您,但您应验证它们是否已安装。
安全更新部署
有关安全更新部署的信息,请参阅Microsoft知识库文章3097966。
其他信息
反馈
您可以通过填写Microsoft帮助和支持表单、客户服务联系我们提供反馈。
支持
美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息,请参阅Microsoft帮助和支持。 国际客户可以从当地的Microsoft子公司获得支持。有关更多信息,请参阅国际支持。 Microsoft TechNet安全提供有关Microsoft产品中安全的其他信息。
免责声明
本公告中提供的信息"按原样"提供,不作任何明示或暗示的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担法律责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2015年9月24日):公告发布。
- V2.0(2015年10月13日):修订公告,通知客户有一个更新可用,该更新修改了Windows中的代码完整性组件,将本公告处理的四个数字证书的信任移除扩展到内核模式代码签名。
页面生成时间:2015年11月16日08:35-08:00。