今天,我们发布安全公告2718704,以通知用户:发现微软的未授权的数字证书。该未授权证书关联到由微软的根证书授权签发的微软子证书授权中心。通过发布这篇博客,我们想提供关于这一事件更多的技术知识以及对你所在企业的潜在风险,提供为保护你免受利用微软的未授权证书发起的潜在的攻击而需要采取的措施的建议。
我们也愿意分享该问题与一个叫“火焰”的复杂且具有针对性的恶意软件的关系。许多报告指出,“火焰”被用于高度复杂且具有针对性的网络攻击,因此,大多数用户不受其影响。此外,大部分反病毒软件能够检测并且删除该恶意软件。而我们的研究发现该恶意软件用到的一些技术也能够被较低复杂度的攻击者所利用,以发起更大范围的攻击。所以,为了保护(该恶意软件的)目标客户和那些未来可能处于风险之中的客户,我们分享我们的发现并且采取措施降低客户的风险。
· 这是怎么发生的?
· 微软正在做些什么来保护客户?
· 受影响证书的指纹
· 关联到火焰恶意软件
这是怎么发生的?
当我们最初认识到旧的加密算法能够被用于签署代码,而被签署的代码看起来源自微软,我们立即开始调查微软的签名基础设施,以查找原因。我们发现该未授权证书是由我们的终端服务许可认证机构发行的。虽然其目的是仅供许可服务器验证的证书,也 能够用来签署代码以标识该代码是微软签署的。特别是,当企业用户要求一个终端服务激活许可证时,微软签发的证书在不需要访问微软内部PKI基础设施的情况下进行代码签名。
微软正在做些什么来保护客户?
发现问题的根源之后我们立即开始制作补丁,以撤销对“Microsoft Enforced Licensing Intermediate PCA”以及“Microsoft Enforced Licensing Registration Authority CA”的信任。目前这一更新通过Windows更新(WU)和自动更新(AU)都是可用的。此更新向Windows不可信证书库中添加了三个证书。
我们也已停止发行通过终端服务激活和许可程序可用于代码签名的证书。
受影响证书的指纹
我们鼓励客户采用经官方测试的更新程序将相关证书添加到不可信证书库(Untrusted Certificates Store)。客户也可以采用其它方式将证书添加上去,比如采用certutil命令行工具或者Certificates MMC snap-in。客户也可以在公司内部通过组策略来自行管理可信的和不可信的证书。下面是需要添加到不可信证书库的证书指纹信息。
证书 |
发行者 |
指纹 |
Microsoft Enforced Licensing Intermediate PCA |
Microsoft Root Authority |
2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Microsoft Enforced Licensing Intermediate PCA |
Microsoft Root Authority |
3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
Microsoft Enforced Licensing Registration Authority CA (SHA1) |
Microsoft Root Certificate Authority |
fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
与“火焰” 恶意软件之间的联系
“火焰” 恶意软件中的组件是由一个与Microsoft Enforced Licensing Intermediate PCA 证书有关联的证书进行签名的,这个代码签名的证书来自于终端服务器版权服务(Terminal Server Licensing Service),该服务可给用户签发证书以帮助其企业内部基于PKI的应用。这些签发的证书可能(在没有安装该更新的情况下)被攻击者用来对代码进行签名,以使其看起来像是来自于微软。
总结
我们推荐所有用户立即安装此补丁。
Jonathan Ness
微软安全响应中心工程团队
分享到:
相关推荐
国密SM2、RSA证书签发工具(CA),https://blog.csdn.net/zweib730/article/details/50972837#comments
工具能生成SM2密钥和签发SM2证书。 工具仅限学习交流使用,只能签发根证书。
1、根证书、子证书签发; 2、证书签发者、使用者、有效期可自定义; 3、产生标准P10、封装成P7格式的P10。 三、各算法实现代码连接 1、SM2:https://download.csdn.net/download/qq42750617/13188634 2、SM3:...
资源中包含GmSSL源码能直接编译通过,也可直接使用编译后的文件进行相关操作;包含编译方法与签发SM2证书方法
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书。
Gmssl 2.0 Windows编译可执行版本,可用来签发SM2测试证书,内有签发根证书说明。
阿里云跨账号申请ssl证书签发-详细笔记总结
jdk、openssl 签发SSL证书脚本 可以满足日常证书常用格式签发(keystore,pem,p12,key等)
它由Sun Microsystems(现在是Oracle Corporation)的James Gosling等人在1995年推出,被设计为一种简单、健壮、可移植、多线程、动态的语言。Java的主要特点和优势包括以下几个方面: 跨平台性(Write Once, Run ...
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
查看证书库内容: 分为私钥别名和证书别名 生成证书的同时会生成三个文件: 1.私钥文件(pem) 2.证书文件(pem) 3.密钥库文件--jks或者p12(pfx)后者IE可用 版权所有,蓝调工作室 作者:Rocky Lee 联系方式:bluton@163.com
[.NET]基于BouncyCastle库生成国密SM2证书,支持SM2证书导出成pfx格式。通过CSR签发证书等.
证书生成工具,封了openssl生成的方式,能快速生成公私钥对
这个问题的根本原因是Java的信任存储(通常是JKS格式的证书库,默认位于$JAVA_HOME/lib/security/cacerts文件中)中没有包含服务器证书的根CA证书,或者服务器证书本身不是由受信任的CA签发,或者证书链不完整。...
基于椭圆曲线密码体制的本地实现的CA(证书授权中心)和数字证书签发系统
从https___github.com_ZZMarquis_gmhelper克隆,支持SM2_SM3_SM4算法的简单封装、SM2 X509v3证书的签发、SM2 pfx证书的签发.zip
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca根证书,傻瓜式零配置签发证书
实现密钥文件生成,证书签发
供大家学习参考,难得一见的好程序。基于alphaSSL的通配符签发源码