image

Microsoft laat XP-gebruikers met illegaal certificaat zitten

dinsdag 10 december 2013, 13:58 door Redactie, 4 reacties

Na Google en Mozilla heeft ook Microsoft een certificaat van de Franse overheid geblokkeerd waarmee SSL-certificaten voor Google-domeinen waren aangemaakt, alleen is er nog geen update beschikbaar om gebruikers van Windows XP en Server 2003 te beschermen.

De aangemaakte certificaten zouden volgens Microsoft voor phishing- en man-in-the-middle-aanvallen zijn te gebruiken. Dit weekend ontdekte Google de certificaten. De Franse Certificate Authority (CA) ANSSI, onderdeel van de Franse overheid, had een intermediate certificaat aan het Franse Ministerie van Financiën verstrekt waarmee het ministerie SSL-certificaten voor willekeurige domeinnamen kon aanmaken.

Via de SSL-certificaten, die voor 42 Google-domeinen waren aangemaakt, wilde het ministerie het verkeer van werknemers inspecteren. Het op deze manier gebruiken van het intermediate certificaat is in strijd met de regels van ANSSI, dat het intermediate certificaat vervolgens introk. Om gebruikers te beschermen heeft Google het intermediate certificaat ook ingetrokken. Mozilla doet dat vandaag met de release van Firefox 26 en Firefox 24 ESR.

Oplossing

Microsoft beschermt gebruikers op verschillende manieren tegen het certificaat en de SSL-certificaten die ermee zijn uitgegeven. Zo beschikken Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 en Windows Server 2012 R2, en apparaten met Windows Phone 8, over een automatische updater die automatisch op ingetrokken certificaten controleert. Gebruikers van deze besturingssystemen hoeven geen enkele actie te ondernemen.

Gebruikers van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 hoeven niets te doen als ze de automatische updater voor ingetrokken certificaten gebruiken. Bij gebruikers van deze besturingssystemen die de updater niet hebben geïnstalleerd zal het illegale intermediate certificaat en de SSL-certificaten die hiermee zijn uitgegeven nog steeds worden geaccepteerd.

Windows XP

Voor gebruikers van Windows XP en Server 2003 is er volgens Microsoft op dit moment nog geen update beschikbaar. Ook is er geen automatische updater voor ingetrokken certificaten aanwezig. Of en wanneer er een update voor de twee besturingssystemen verschijnen is onbekend. Toch is er iets dat XP-gebruikers kunnen doen. Microsofts Dustin Childs stelt dat de Enhanced Mitigation Experience Toolkit (EMET) 4.0 en nieuwer gebruikers tegen man-in-the-middle-aanvallen beschermt door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren. Gebruikers moeten deze tool wel zelf installeren.

Reacties (4)
10-12-2013, 15:45 door Anoniem
Waarom blijven websites zich toch zo focussen op het aftakelen van XP?
Alsof het nieuws is dat als je ouder wordt, dingen slechter gaan functioneren...

Je opa zal de tour de France ook niet meer winnen, dus zet daar je geld niet op in!
10-12-2013, 17:04 door Anoniem
Microsofts Dustin Childs stelt dat de Enhanced Mitigation Experience Toolkit (EMET) 4.0 en nieuwer gebruikers tegen man-in-the-middle-aanvallen beschermt door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren. Gebruikers moeten deze tool wel zelf installeren.

Het lijkt mij alsof Microsoft de laatste tijd wel vaker geen security updates uitbrengt voor bepaalde omgevingen, maar in plaats daarvan EMET aanraadt. Het is dat EMET gratis is, maar ik ben wel benieuwd in hoeverre dit koppelverkoop o.i.d. is.

Peter
10-12-2013, 18:06 door vimes
Je kan toch gewoon zelf dat certificaat verwijderen?

https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_cmprocsdelcert.mspx?mfr=true
13-12-2013, 15:28 door Anoniem
XP gebruikers worden (nog) niet in de steek gelaten:
Kreeg op Win XP SP3 vandaag (Vr 13-12)
hiervoor (certificaat van de Franse overheid geblokkeerd)
een high priority update binnen: KB2917500
Zie: http://support.microsoft.com/kb/2917500
=Security Advisory 2916652
Zie: http://technet.microsoft.com/security/advisory/2916652
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.