Microsoft laat XP-gebruikers met illegaal certificaat zitten
Na Google en Mozilla heeft ook Microsoft een certificaat van de Franse overheid geblokkeerd waarmee SSL-certificaten voor Google-domeinen waren aangemaakt, alleen is er nog geen update beschikbaar om gebruikers van Windows XP en Server 2003 te beschermen.
De aangemaakte certificaten zouden volgens Microsoft voor phishing- en man-in-the-middle-aanvallen zijn te gebruiken. Dit weekend ontdekte Google de certificaten. De Franse Certificate Authority (CA) ANSSI, onderdeel van de Franse overheid, had een intermediate certificaat aan het Franse Ministerie van Financiën verstrekt waarmee het ministerie SSL-certificaten voor willekeurige domeinnamen kon aanmaken.
Via de SSL-certificaten, die voor 42 Google-domeinen waren aangemaakt, wilde het ministerie het verkeer van werknemers inspecteren. Het op deze manier gebruiken van het intermediate certificaat is in strijd met de regels van ANSSI, dat het intermediate certificaat vervolgens introk. Om gebruikers te beschermen heeft Google het intermediate certificaat ook ingetrokken. Mozilla doet dat vandaag met de release van Firefox 26 en Firefox 24 ESR.
Oplossing
Microsoft beschermt gebruikers op verschillende manieren tegen het certificaat en de SSL-certificaten die ermee zijn uitgegeven. Zo beschikken Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 en Windows Server 2012 R2, en apparaten met Windows Phone 8, over een automatische updater die automatisch op ingetrokken certificaten controleert. Gebruikers van deze besturingssystemen hoeven geen enkele actie te ondernemen.
Gebruikers van Windows Vista, Windows 7, Windows Server 2008 en Windows Server 2008 R2 hoeven niets te doen als ze de automatische updater voor ingetrokken certificaten gebruiken. Bij gebruikers van deze besturingssystemen die de updater niet hebben geïnstalleerd zal het illegale intermediate certificaat en de SSL-certificaten die hiermee zijn uitgegeven nog steeds worden geaccepteerd.
Windows XP
Voor gebruikers van Windows XP en Server 2003 is er volgens Microsoft op dit moment nog geen update beschikbaar. Ook is er geen automatische updater voor ingetrokken certificaten aanwezig. Of en wanneer er een update voor de twee besturingssystemen verschijnen is onbekend. Toch is er iets dat XP-gebruikers kunnen doen. Microsofts Dustin Childs stelt dat de Enhanced Mitigation Experience Toolkit (EMET) 4.0 en nieuwer gebruikers tegen man-in-the-middle-aanvallen beschermt door onbetrouwbare of onterecht uitgegeven SSL-certificaten te detecteren. Gebruikers moeten deze tool wel zelf installeren.
Alsof het nieuws is dat als je ouder wordt, dingen slechter gaan functioneren...
Je opa zal de tour de France ook niet meer winnen, dus zet daar je geld niet op in!
Het lijkt mij alsof Microsoft de laatste tijd wel vaker geen security updates uitbrengt voor bepaalde omgevingen, maar in plaats daarvan EMET aanraadt. Het is dat EMET gratis is, maar ik ben wel benieuwd in hoeverre dit koppelverkoop o.i.d. is.
Peter
https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_cmprocsdelcert.mspx?mfr=true
Kreeg op Win XP SP3 vandaag (Vr 13-12)
hiervoor (certificaat van de Franse overheid geblokkeerd)
een high priority update binnen: KB2917500
Zie: http://support.microsoft.com/kb/2917500
=Security Advisory 2916652
Zie: http://technet.microsoft.com/security/advisory/2916652
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
