...

пятница, 11 июля 2014 г.

Microsoft выпускает срочное обновление для блокирования поддельных SSL-сертификатов

Вчера компания Microsoft выпустила уведомление безопасности Security Advisory 2982792, которое сообщает пользователям об обновлении списка доверенных цифровых сертификатов во всех поддерживаемых выпусках Windows. Обновлению подвергается т. н. Certificate Trust List (CTL) или список доверенных сертификатов, который используется ОС как источник сведений о действительных сертификатах. Конкретно, речь идет о SSL-сертификатах, которые были выданы скомпрометированным учреждением (CA) India National Informatics Centre (NIC). Это так называемый промежуточный центр сертификации, который является доверенным для продуктов и сервисов Microsoft, а также для других крупных корпораций.



Microsoft стало известно о неправильно выданных SSL-сертификатах, которые могут быть использованы атакующими для подмены содержимого (spoofing), осуществления фишинговых атак, а также для атак типа Man-in-the-Middle. Эти сертификаты были выданы ненадлежащим образом организацией (центром сертификации) National Informatics Centre (NIC), которая является подчиненной для другого центра сертификации Government of India Controller of Certifying Authorities. Этот центр сертификации присутствует в списке доверенных Microsoft, т. н. Trusted Root Certification Authorities Store. Проблема затрагивает все поддерживаемые выпуски Microsoft Windows.





Несколько дней назад компания Google опубликовала информацию о том, что ей стало известно про SSL-сертификаты для доменов компании, которые несанкционированно были выданы вышеупомянутым CA. Условно говоря, злоумышленник, обладая таким сертификатом, может представить свой источник (веб-ресурс) как будто он является сервисом компании Google и при этом выданный цифровой сертификат будет подтверждать эту информацию. Позднее пост Google был обновлен информацией о том, что цифровые сертификаты также были выданы для доменов сервиса Yahoo. Указывается, что реальный масштаб инцидента, связанного с компрометацией CA на самом деле неизвестен. Пока речь идет о нескольких сертификатах для доменов Google и одном для домена Yahoo. Эти сертификаты были отозваны 3-го июля.


Отозванные сертификаты могут быть использованы для компрометации соединения, в том числе, со следующими известными доменами:



google.com

mail.google.com

gmail.com

m.gmail.com

smtp.gmail.com

ssl.gstatic.com

static.com

encrypted-tbn1.gstatic.com

encrypted-tbn2.gstatic.com

login.yahoo.com

mail.yahoo.com

mail.yahoo-inc.com





Такие операционные системы как Windows 8, 8.1, RT, RT 8.1, Server 2012, а также Windows Phone 8 и Windows Phone 8.1 получат соответствующее обновление CTL автоматически. Пользователям Windows Vista, 7 или Server 2008 может потребоваться ручное обновление с использованием инструкций, указанных здесь.



Рис. Для того, чтобы убедиться в применении обновления отзыва скомпрометированных цифровых сертификатов на Windows 8/8.1, а также Windows RT и RT 8.1 запустите оснастку управления событиями и найдите событие с кодом 4112 в журнале событий приложений, как показано на скриншоте выше.


Для других систем воспользуйтесь этой рекомендацией центра безопасности Microsoft или оснасткой Сертификаты консоли MMC.




Рис. Если вы используете Windows до версии Windows 8, вы можете проверить список отозванных сертификатов в оснастке Сертификаты. Сертификаты со следующими отпечатками должны находиться в списке отозванных.


image

be secure.


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Комментариев нет:

Отправить комментарий