Microsoft blundert met DigiNotar-update
Microsoft heeft de DigiNotar-update voor Windows systemen door een blunder opnieuw moeten uitgeven. De update die vorige week uitkwam om de honderden gecompromitteerde DigiNotar-certificaten ongeldig te maken en te blokkeren, bevatte niet de certificaten die ook daadwerkelijk in Iran voor het afluisteren van Gmail-gebruikers zijn gebruikt. Gebruikers die de update hadden geïnstalleerd, waren dan ook nog steeds kwetsbaar voor aanvallen via valse SSL-certificaten, zo laat Microsoft in de aangepaste advisory weten.
Update
Het probleem treft alleen gebruikers van Windows XP en Windows Server 2003. Systemen die Automatische Update hebben ingeschakeld krijgen de update automatisch aangeboden. Gebruikers van Windows 7, Vista en Server 2008 hoeven geen actie te ondernemen.
De onvolledige update werd in een vroeg stadium door onze eigen Erik van Straten ontdekt, die het probleem op het Security.nl forum uitgebreid beschreef en Microsoft ook inlichtte.
...en ondertussen maar zeiken op mac dat die nog geen update had....ja hoor mensen...
beter geen update dan een halve update.
Echter: dit lost nog NIET een probleem op dat met name op PC's van de overheid en in de de gezondheidszorg zou kunnen spelen. Er zijn namelijk een tweetal extra DigiNotar root certificaten verspreid die, ondanks de update van gisteravond, nog steeds NIET worden geblacklist.
Update http://support.microsoft.com/kb/2616676 van gisteravond blacklist nu 1 "DigiNotar Root CA" dat een echt root certificate is (er worden er nu nog twee met die titel geblokkeerd, maar die zijn ondertekend door Entrust).
BELANGRIJK: dit blacklisten gebeurt niet door het verwijderen van die certficaten uit de tabel "Vertrouwde basiscertificeringsinstanties" (Engels: "Trusted Root Certification Authorities"), maar door kopieën van die certificaten toe te voegen aan de tabel "Niet-vertrouwde uitgevers" (Engels: "Untrusted Certificates").
Bij de nog niet geblackliste DigiNotar root certificaten gaat het om twee stuks eveneens echte root certiificaten getiteld "DigiNotar Root CA" met een identieke public key als het nu wel geblackliste "DigiNotar Root CA". Met één of beide certificaten op je systeem zullen websites die van vervalste DigiNoter certificaten gewoon worden geaccepteerd. Ook wordt de door de ComodoHacker verspreide "calc.exe" ondertekend met het door hem bij DigiNotar gegenereerde *.google.com certificaat gewoon als geldig beschouwd. Dit kan natuurlijk ook gelden voor e-mails met digitale handtekeningen en mogelijk versleutelde ZorgTTP gegevens.
Zodra ik tijd heb zal ik http://www.security.nl/artikel/38501/1/%28NL%29_MS_DigiNotar_patch_incompleet!.html en http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet!_Nu_bevestigd_door_Microsoft..html bijwerken met de nieuwe informatie.
N.b. testen op DigiNotar certificaten bij https://auth.pass.nl/ werkt niet meer, omdat DigiNotar sinds gisteren gebruik maakt van Comodo certficaten (brothers in harms?)
...en ondertussen maar zeiken op mac dat die nog geen update had....ja hoor mensen...
beter geen update dan een halve update.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
