Deux certificats numériques émis à tort par VeriSign présentent des risques d'attaque

Traductions disponibles Traductions disponibles
Numéro d'article: 293818 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F293818
Agrandir tout | Réduire tout

Sommaire

Résumé

VeriSign, Inc. a récemment informé Microsoft de l'émission, les 29 et 30 janvier 2001, de deux certificats numériques de signature de code de classe 3 à un individu s'étant fait frauduleusement passer pour un employé de Microsoft. « Microsoft Corporation » est le nom commun attribué aux deux certificats. Un utilisateur malintentionné peut clairement tirer profit de cette opportunité de signer du contenu exécutable en utilisant des clés prétendues appartenir à Microsoft afin de convaincre d'autres utilisateurs d'exécuter le contenu en question.

Les certificats peuvent être utilisés pour signer des programmes, des contrôles ActiveX, des macros Microsoft Office et tout autre contenu exécutable. Parmi ceux-ci, les contrôles ActiveX et les macros Office signés présentent le plus grand danger car les scénarios d'attaque les concernant sont les plus directs. Les contrôles ActiveX et les documents Microsoft Word peuvent tous deux être remis par le biais de pages Web ou de courriers électroniques au format HTML. Les contrôles ActiveX peuvent être automatiquement invoqués par un script ; quant aux documents Word, ils peuvent être automatiquement ouverts par un script, à moins que vous n'ayez activé l'outil de confirmation d'ouverture des documents Microsoft Office.

Ces certificats, bien qu'ils indiquent le contraire, n'appartiennent pas à Microsoft et ne sont pas authentiques, et le contenu autorisé par ceux-ci n'est pas approuvé par défaut. L'approbation est définie sur la base de certificats individuels et non sur la base du nom commun. Par conséquent, un message d'avertissement apparaît avant que le contenu signé ne puisse être exécuté, et ce même si vous avez par le passé accepté de faire confiance à d'autres certificats avec le nom commun « Microsoft Corporation ». Le danger existe lorsqu'un utilisateur, même soucieux des problèmes de sécurité, accepte d'exécuter le contenu et de toujours faire confiance aux certificats frauduleux.

VeriSign a annulé ces certificats. Ceux-ci sont désormais répertoriés dans la liste de révocation des certificats (CRL, Certificate Revocation List) de VeriSign. Cependant, les certificats de signature de code VeriSign ne spécifiant pas de point de distribution de CRL (CDP, CRL Distribution Point), il est impossible au mécanisme de vérification de la CRL d'un navigateur de télécharger et d'utiliser la liste de révocation de VeriSign. Microsoft développe actuellement une mise à jour pour rectifier ce problème. Cette mise à jour contient une CRL comportant les deux certificats et un gestionnaire de révocation installable qui consulte la CRL sur l'ordinateur local au lieu de tenter d'utiliser le mécanisme du CDP.

Microsoft prépare actuellement différentes versions de cette mise à jour pour tous les systèmes d'exploitation mis sur le marché depuis 1995. Toutefois, en raison du grand nombre de systèmes d'exploitation à tester, les mises à jour ne sont actuellement pas disponibles. Entre-temps, Microsoft recommande fortement aux utilisateurs de suivre les étapes suivantes, en partie ou en totalité, pour se protéger contre tout segment de code signé par l'un des certificats.

  • Examinez les certificats mentionnés dans tous les messages d'avertissement. Les deux certificats en question ont été émis le 29 janvier 2001 et le 30 janvier 2001. Aucun certificat Microsoft « réel » n'a été émis à ces dates.Pour plus d'informations sur la procédure à suivre pour identifier ces certificats frauduleux, cliquez sur le numéro ci-dessous afin d'afficher l'article correspondant dans la Base de connaissances Microsoft :
    293817 Procédure à suivre pour identifier des certificats de signature de code émis à tort par VeriSign
  • Installez la Mise à jour de sécurité pour la messagerie électronique Outlook pour empêcher d'exécuter les programmes transmis par courrier électronique, même par des composants signés, et installez l'outil de confirmation d'ouverture des documents Office pour forcer les pages Web à vous demander l'autorisation avant d'ouvrir des documents Office.
  • Considérez la suppression temporaire du certificat de l'Organisme de certification VeriSign Commercial Software Publishers de l'enregistrement des sources sûres.Pour plus d'informations sur la procédure à suivre pour supprimer l'Organisme de certification VeriSign Commercial Software Publishers de l'enregistrement des sources sûres, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    293819 Procédure de suppression d'un certificat de source de l'enregistrement des sources sûres

Plus d'informations

Facteurs atténuants

  • Les certificats ne sont pas approuvés par défaut. Par conséquent, des éléments de code ou des contrôles ActiveX ne seront pas exécutés sans l'affichage d'un message d'avertissement. En examinant le certificat dans de tels messages, vous pouvez facilement reconnaître les certificats en question.
  • Les certificats ne sont pas les vrais certificats de signature de code Microsoft. Le contenu approuvé par ces clés peut être différencié du réel contenu Microsoft.
Pour plus d'informations sur la procédure à suivre pour annuler le statut d'approbation de ces certificats, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
293816 Procédure à suivre pour déterminer si vous avez accepté de faire confiance à des certificats frauduleux émis par VeriSign
Pour plus d'informations, consultez le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx

Propriétés

Numéro d'article: 293818 - Dernière mise à jour: jeudi 16 novembre 2006 - Version: 2.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Édition Entreprise
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Deuxième Édition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Mots-clés : 
kbinfo kbwin95 kbwin98 kbwinme kbwin98se kb3rdparty KB293818
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com