Microsoft laat XP-gebruikers met illegaal certificaat zitten
Na Google en Mozilla heeft ook Microsoft een certificaat van de Franse overheid geblokkeerd waarmee SSL-certificaten voor Google-domeinen waren aangemaakt, alleen is er nog geen update beschikbaar om gebruikers van Windows XP en Server 2003 te beschermen.
De aangemaakte certificaten zouden volgens Microsoft voor phishing- en man-in-the-middle-aanvallen zijn te gebruiken. Dit weekend ontdekte Google de certificaten. De Franse Certificate Authority (CA) ANSSI, onderdeel van de Franse overheid, had een intermediate certificaat aan het Franse Ministerie van Financiën verstrekt waarmee het ministerie SSL-certificaten voor willekeurige domeinnamen kon aanmaken.
Via de SSL-certificaten, die voor 42 Google-domeinen waren aangemaakt, wilde het ministerie het verkeer van werknemers inspecteren. Het op deze manier gebruiken van het intermediate certificaat is in strijd met de regels van ANSSI, dat het intermediate certificaat vervolgens introk. Om gebruikers te beschermen heeft Google het intermediate certificaat ook ingetrokken. Mozilla doet dat vandaag met de release van Firefox 26 en Firefox 24 ESR.
Oplossing
Microsoft beschermt gebruikers op verschillende manieren tegen het certificaat en de SSL-certificaten die ermee zijn uitgegeven. Zo beschikken Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 en Windows Server 2012 R2, en apparaten met Windows Phone 8, over een automatische updater die automatisch op ingetrokken certificaten controleert. Gebruikers van deze besturingssystemen hoeven geen enkele actie te ondernemen.
Gebruikers van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 hoeven niets te doen als ze de automatische updater voor ingetrokken certificaten gebruiken. Bij gebruikers van deze besturingssystemen die de updater niet hebben geïnstalleerd zal het illegale intermediate certificaat en de SSL-certificaten die hiermee zijn uitgegeven nog steeds worden geaccepteerd.
Windows XP
Voor gebruikers van Windows XP en Server 2003 is er volgens Microsoft op dit moment nog geen update beschikbaar. Ook is er geen automatische updater voor ingetrokken certificaten aanwezig. Of en wanneer er een update voor de twee besturingssystemen verschijnen is onbekend. Toch is er iets dat XP-gebruikers kunnen doen. Microsofts Dustin Childs stelt dat de Enhanced Mitigation Experience Toolkit (EMET) 4.0 en nieuwer gebruikers tegen man-in-the-middle-aanvallen beschermt door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren. Gebruikers moeten deze tool wel zelf installeren.
Alsof het nieuws is dat als je ouder wordt, dingen slechter gaan functioneren...
Je opa zal de tour de France ook niet meer winnen, dus zet daar je geld niet op in!
Het lijkt mij alsof Microsoft de laatste tijd wel vaker geen security updates uitbrengt voor bepaalde omgevingen, maar in plaats daarvan EMET aanraadt. Het is dat EMET gratis is, maar ik ben wel benieuwd in hoeverre dit koppelverkoop o.i.d. is.
Peter
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_cmprocsdelcert.mspx?mfr=true
Kreeg op Win XP SP3 vandaag (Vr 13-12)
hiervoor (certificaat van de Franse overheid geblokkeerd)
een high priority update binnen: KB2917500
Zie: http://support.microsoft.com/kb/2917500
=Security Advisory 2916652
Zie: http://technet.microsoft.com/security/advisory/2916652
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.