Microsoft noodupdate voor valse SSL-certificaten
Microsoft heeft een noodupdate uitgebracht om gebruikers van Windows tegen valse SSL-certificaten te beschermen die door een Indiaas bedrijf waren uitgegeven. Via de valse certificaten is het mogelijk om de inhoud van websites te spoofen en phishing- en man-in-the-middle-aanvallen uit te voeren.
Het gaat in ieder geval om valse certificaten voor google.com, gmail.com, googlemail.com, gstatic.com en yahoo.com, maar de werkelijke omvang van het aantal valse SSL-certificaten is volgens Google onbekend. De valse SSL-certificaten in kwestie waren door het Indiase National Informatics Centre (NIC) uitgegeven dat weer door de Indiase Controller van Certifying Authorities (India CCA) wordt vertrouwd.
De certificaten van India CCA staan standaard in de Microsoft Root Store en worden zodoende door een groot deel van de programma's die op Windows draaien vertrouwd. De noodupdate die Microsoft nu heeft uitgebracht zorgt ervoor dat de onterecht uitgegeven certificaten niet meer worden vertrouwd. Windowsgebruikers krijgen in dit geval een waarschuwing als ze een website met één van de valse SSL-certificaten bezoeken.
Volgens Microsoft zijn er echter geen aanwijzingen dat de valse certificaten ook daadwerkelijk gebruikt zijn. De update, die voor alle ondersteunde Windowsversies beschikbaar is, wordt automatisch geïnstalleerd bij gebruikers die de Automatische Updatefunctie hebben ingeschakeld, wat standaard het geval is. Daarnaast adviseert Microsoft het gebruik van de Enhanced Mitigation Experience Toolkit (EMET) 4.1 of nieuwer, aangezien die man-in-the-middle-aanvallen kan voorkomen door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren.
https://technet.microsoft.com/en-us/library/security/2982792.aspx
"An automatic updater of revoked certificates is included in supported editions of Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, and Windows Server 2012 R2, and for devices running Windows Phone 8 or Windows Phone 8.1. For these operating systems or devices, customers do not need to take any action because the CTL will be updated automatically."
https://support.microsoft.com/kb/2677070
Win 2012 en 8/8.1 update de CTL automatisch al
Je kan checken in je application log of de CTL is geupdate 3 Juli of later
•Source: CAPI2
•Level: Information
•Event ID: 4112
•Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).
Je bent alleen echt kwetsbaar met windows 2003/XP
https://support.microsoft.com/kb/2677070
Win 2012 en 8/8.1 update de CTL automatisch al
Je kan checken in je application log of de CTL is geupdate 3 Juli of later
•Source: CAPI2
•Level: Information
•Event ID: 4112
•Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).
Je bent alleen echt kwetsbaar met windows 2003/XP
Vreemd blijft wel dat er 3 july staat, terwijl de KB van 10 july is en de genoemde certificaten niet in de untrusted store komen, check maar eens. Heb zelf 4 verschillende omgevingen gechecked.
https://support.microsoft.com/kb/2677070
Win 2012 en 8/8.1 update de CTL automatisch al
Je kan checken in je application log of de CTL is geupdate 3 Juli of later
•Source: CAPI2
•Level: Information
•Event ID: 4112
•Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).
Je bent alleen echt kwetsbaar met windows 2003/XP
Vreemd blijft wel dat er 3 july staat, terwijl de KB van 10 july is en de genoemde certificaten niet in de untrusted store komen, check maar eens. Heb zelf 4 verschillende omgevingen gechecked.
Krijg zojuist melding retour van Microsoft dat er een issue is met het publiseren van de disallowed certificates. Er wordt op dit moment onderzoek naar gedaan, zodra ik meer weet post ik het ook hier.
Microsoft geeft dus in iedergeval toe dat de gemelde certificaten er dus nog niet tussen staan, dus gemelde issues speeld feitenlijk nog steeds. Later meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.