Вчера компания Microsoft выпустила уведомление безопасности Security Advisory 2982792, которое сообщает пользователям об обновлении списка доверенных цифровых сертификатов во всех поддерживаемых выпусках Windows. Обновлению подвергается т. н. Certificate Trust List (CTL) или список доверенных сертификатов, который используется ОС как источник сведений о действительных сертификатах. Конкретно, речь идет о SSL-сертификатах, которые были выданы скомпрометированным учреждением (CA) India National Informatics Centre (NIC). Это так называемый промежуточный центр сертификации, который является доверенным для продуктов и сервисов Microsoft, а также для других крупных корпораций.
Microsoft стало известно о неправильно выданных SSL-сертификатах, которые могут быть использованы атакующими для подмены содержимого (spoofing), осуществления фишинговых атак, а также для атак типа Man-in-the-Middle. Эти сертификаты были выданы ненадлежащим образом организацией (центром сертификации) National Informatics Centre (NIC), которая является подчиненной для другого центра сертификации Government of India Controller of Certifying Authorities. Этот центр сертификации присутствует в списке доверенных Microsoft, т. н. Trusted Root Certification Authorities Store. Проблема затрагивает все поддерживаемые выпуски Microsoft Windows.
Несколько дней назад компания Google опубликовала информацию о том, что ей стало известно про SSL-сертификаты для доменов компании, которые несанкционированно были выданы вышеупомянутым CA. Условно говоря, злоумышленник, обладая таким сертификатом, может представить свой источник (веб-ресурс) как будто он является сервисом компании Google и при этом выданный цифровой сертификат будет подтверждать эту информацию. Позднее пост Google был обновлен информацией о том, что цифровые сертификаты также были выданы для доменов сервиса Yahoo. Указывается, что реальный масштаб инцидента, связанного с компрометацией CA на самом деле неизвестен. Пока речь идет о нескольких сертификатах для доменов Google и одном для домена Yahoo. Эти сертификаты были отозваны 3-го июля.
Отозванные сертификаты могут быть использованы для компрометации соединения, в том числе, со следующими известными доменами:
google.com
mail.google.com
gmail.com
m.gmail.com
smtp.gmail.com
ssl.gstatic.com
static.com
encrypted-tbn1.gstatic.com
encrypted-tbn2.gstatic.com
login.yahoo.com
mail.yahoo.com
mail.yahoo-inc.com
Такие операционные системы как Windows 8, 8.1, RT, RT 8.1, Server 2012, а также Windows Phone 8 и Windows Phone 8.1 получат соответствующее обновление CTL автоматически. Пользователям Windows Vista, 7 или Server 2008 может потребоваться ручное обновление с использованием инструкций, указанных здесь.
Рис. Для того, чтобы убедиться в применении обновления отзыва скомпрометированных цифровых сертификатов на Windows 8/8.1, а также Windows RT и RT 8.1 запустите оснастку управления событиями и найдите событие с кодом 4112 в журнале событий приложений, как показано на скриншоте выше.
Для других систем воспользуйтесь этой рекомендацией центра безопасности Microsoft или оснасткой Сертификаты консоли MMC.
Рис. Если вы используете Windows до версии Windows 8, вы можете проверить список отозванных сертификатов в оснастке Сертификаты. Сертификаты со следующими отпечатками должны находиться в списке отозванных.
be secure.
Автор: esetnod32
