Computerbeveiliging - Hoe je bad guys buiten de deur houdt

(NL) MS DigiNotar patch incompleet!

16-09-2011, 10:40 door Erik van Straten, 1 reacties

Hieronder vindt u een Nederlandstalige samenvatting van de Engelstalige pagina [url]http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet!_Nu_bevestigd_door_Microsoft..html[/url].
I.v.m. de breedte van de tekst post ik dat als reactie.

[b]UPDATE (2011-09-20 12:21): [/b]Microsoft heeft probleem #1 ondertussen bevestigd (voor XP en Server 2003) en gerepareerd, door gisteravond (2011-09-19) een nieuwe versie van KB2616676 uit te brengen.

Echter, voor probleem #2 bestaat (nog) [i]geen[/i] update! En dat probleem blijkt reëel, want "JoostB" meldt in voornoemde pagina (om resp. 10:49 en 12:20) dat hij certificaat (12) op PCs is tegengekomen, en dat deze mogelijk gedistribueerd is samen met software van "ZorgTTP for DIS delivery". Bovengenoemde pagina bevat verdere details (deels Nederlandstalig).

Reacties (1)
16-09-2011, 10:42 door Erik van Straten
UPDATE (2011-09-23 09:27): ik heb nog niet de tijd gevonden om onderstaande bijdrage bij te werken met de laatste ontwikkelingen. Zie voorlopig de Engelstalige versie.

INLEIDING
Sinds dinsdagavond 2011-09-13 wordt via Microsoft's automatische update onder meer update KB2616676 geïnstalleerd op Windows computers (zie http://support.microsoft.com/kb/2616676). Deze update zorgt ervoor dat in elk geval een deel van de door DigiNotar uitgegeven (root) certificaten in de tabel getiteld "Niet-vertrouwde uitgevers" van de Windows certificaten database worden toegevoegd. Daarmee worden die certificaten ongeldig verklaard en krijg je een waarschuwing als je met Internet Explorer een website bezoekt die van één van de genoemde Diginotar certificaten gebruik maakt.

PROBLEEM #1 (GROOT)
Het lijkt er sterk op dat deze recent en automatische verspreide update KB2616676 incompleet is waardoor niet alle relevante DigiNotar certificaten worden uitgeschakeld!

OORZAAK
De oorzaak daarvan is waarschijnlijk:
1. Eerder, nl. vorige week dinsdag 2011-09-08, heeft Microsoft een gerelateerde patch verspreid, nl. KB2607712 (zie http://support.microsoft.com/kb/2607712). Die patch bevatte al een aantal uit te schakelen DigiNotar certificaten, maar was niet compleet. Belangrijk: deze patch is (op verzoek van de Nederlandse overheid) niet in Nederland verspreid!

2. Als je na afgelopen dinsdagavond (2011-09-13) Windows Updates automatisch binnenkrijgt (of handmatig installeert door naar https://www.update.microsoft.com/ te bezoeken), dan krijg je de update van vorige week, KB2607712, niet meer aangeboden.

3. Kennelijk is de laatste update (KB2616676) niet cumulatief (deze bevat niet de uit te schakelen certificaten uit de vorige update, KB2607712, die we in Nederland niet aangeboden hebben gekregen!

PROBLEEM #2 (KLEIN)
Naast probleem #1 lijkt Microsoft ergens tussen 2005 en mei 2007 een tweetal DigiNotar root certificaten te hebben verspreid. Die zouden nog in de tabel "Vertrouwde basiscertificeringsinstanties" van sommige Windows computers kunnen voorkomen. In dat geval zouden ook die twee certificaten permanent uitgeschakeld moeten worden!

GEVOLGEN
Als er in de Windows certificaten database (waar onder meer Internet Explorer gebruik van maakt) "vertrouwde" (root) certificaten van DigiNotar zitten, terwijl deze niet expliciet zijn uitgeschakeld doordat kopieën van die certificaten in de tabel "Niet-vertrouwde uitgevers" van de Windows certificaten database zijn geplaatst, loopt u risico's als u websites bezoekt waarvan de URL met https begint! Het is dan mogelijk dat u een vervalste website bezoekt en onbedoeld bijvoorbeeld logon gegevens "weggeeft" aan aanvallers.

OPLOSSING
- Zorg dat uw computer up-to-date is met Microsoft updates. Tip als uw computer gebruik maakt van automatische updates: volgens http://support.microsoft.com/kb/2497281 kunt u een automatische update forceren door een "Opdrachtprompt" te starten, en daarin uit te voeren:
wuauclt /detectnow
Alternatief: start Internet Explorer, ga naar https://www.update.microsoft.com/, en installeer in elk geval alle beveiligingsupdates die worden aangeboden.

- Controleer daarna of alle nu bekende DigiNotar (root) certificaten daadwerkelijk zijn uitgeschakeld. Start daarvoor Internet Explorer, open menu "Extra", kies "Internetopties", open het tabblad "Inhoud" en klik op de knop "Certificaten". In de dialoogbox die u nu ziet, is slechts een deel van de beschikbare zijn tabbladen zichtbaar. U dient met de pijltjestoetsen rechtsboven naar rechts te scrollen totdat het tabblad "Niet-vertrouwde uitgevers" zichtbaar wordt. In die lijst horen nu minstens 11 regels te staan die met "DigiNotar" beginnen! Zie http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet%21.html om te zien om welke certificaten het precies gaat, dat zijn de nummers (1) t/m (11) in die webpagina.

- Als de certificaten met nummers (7) t/m (11) (beschreven in http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet%21.html) ontbreken, open dan http://support.microsoft.com/kb/2607712 en installeer de juiste update voor uw besturingssysteem handmatig (er is dan geen reboot nodig).

- Als de certificaten met nummers (12) en (13) (beschreven in http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet%21.html) voorkomen in één of meer van de andere tabbladen dan "Niet-vertrouwde uitgevers", kunt u deze gewoon verwijderen. Als alternatief kunt u ze opslaan als bestand en opnieuw importeren, echter specifiek in de tabel "Niet-vertrouwde uitgevers".

TESTEN OF UW PC KWETSBAAR IS
Zie de Nederlandse tekst bovenaan http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet%21.html.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search