今天,我们发布安全公告2718704,以通知用户:发现微软的未授权的数字证书。该未授权证书关联到由微软的根证书授权签发的微软子证书授权中心。通过发布这篇博客,我们想提供关于这一事件更多的技术知识以及对你所在企业的潜在风险,提供为保护你免受利用微软的未授权证书发起的潜在的攻击而需要采取的措施的建议。
我们也愿意分享该问题与一个叫“火焰”的复杂且具有针对性的恶意软件的关系。许多报告指出,“火焰”被用于高度复杂且具有针对性的网络攻击,因此,大多数用户不受其影响。此外,大部分反病毒软件能够检测并且删除该恶意软件。而我们的研究发现该恶意软件用到的一些技术也能够被较低复杂度的攻击者所利用,以发起更大范围的攻击。所以,为了保护(该恶意软件的)目标客户和那些未来可能处于风险之中的客户,我们分享我们的发现并且采取措施降低客户的风险。
· 这是怎么发生的?
· 微软正在做些什么来保护客户?
· 受影响证书的指纹
· 关联到火焰恶意软件
这是怎么发生的?
当我们最初认识到旧的加密算法能够被用于签署代码,而被签署的代码看起来源自微软,我们立即开始调查微软的签名基础设施,以查找原因。我们发现该未授权证书是由我们的终端服务许可认证机构发行的。虽然其目的是仅供许可服务器验证的证书,也 能够用来签署代码以标识该代码是微软签署的。特别是,当企业用户要求一个终端服务激活许可证时,微软签发的证书在不需要访问微软内部PKI基础设施的情况下进行代码签名。
微软正在做些什么来保护客户?
发现问题的根源之后我们立即开始制作补丁,以撤销对“Microsoft Enforced Licensing Intermediate PCA”以及“Microsoft Enforced Licensing Registration Authority CA”的信任。目前这一更新通过Windows更新(WU)和自动更新(AU)都是可用的。此更新向Windows不可信证书库中添加了三个证书。
我们也已停止发行通过终端服务激活和许可程序可用于代码签名的证书。
受影响证书的指纹
我们鼓励客户采用经官方测试的更新程序将相关证书添加到不可信证书库(Untrusted Certificates Store)。客户也可以采用其它方式将证书添加上去,比如采用certutil命令行工具或者Certificates MMC snap-in。客户也可以在公司内部通过组策略来自行管理可信的和不可信的证书。下面是需要添加到不可信证书库的证书指纹信息。
证书 | 发行者 | 指纹 |
Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
Microsoft Enforced Licensing Registration Authority CA (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
与“火焰” 恶意软件之间的联系
“火焰” 恶意软件中的组件是由一个与Microsoft Enforced Licensing Intermediate PCA 证书有关联的证书进行签名的,这个代码签名的证书来自于终端服务器版权服务(Terminal Server Licensing Service),该服务可给用户签发证书以帮助其企业内部基于PKI的应用。这些签发的证书可能(在没有安装该更新的情况下)被攻击者用来对代码进行签名,以使其看起来像是来自于微软。
总结
我们推荐所有用户立即安装此补丁。
Jonathan Ness
微软安全响应中心工程团队