חל על
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 21 בנובמבר 2025

מזהה KB: 5073121

מבוא

עדכוני Windows שפורסמו ב- 14 באוקטובר 2025, שנוהלים ב- CVE-2024-30098 גילו בעיות באפליקציות שבהן הקוד אינו מזהה כראוי איזה ספק מנהל את המפתח עבור אישורים המופצים מכרטיס חכם לחנות האישורים. זיהוי שגוי זה עלול לגרום לפעולות הצפנה להיכשל בתרחישים מסוימים. מסמך זה מספק הדרכה למפתחי אפליקציות לגבי האופן שבו ניתן לזהות את המטפל הנכון ולפתור בעיות אלה.

סיכום

כאשר אישורים מופצים מכרטיס חכם אל מאגר האישורים של Windows, תהליך ההפצה יכול להשתמש בכל אחד מהספקים הבאים:

  • ספק שירותי הצפנה (CSP) מדור קודם, שיסתמך על ממשק תיכנות היישומים של הצפנה מדור קודם (CAPI)

  • ספק אחסון מפתח (KSP), אשר מסתמך על API של הצפנה: הדור הבא (CNG). זו היתה ההחלפה המודרנית שהוצגה ב- Windows Vista.

לפני התיקון עבור CVE-2024-30098, אלגוריתם ההפצה השתמש ב- CSP עבור אישורים מבוססי RSA ו- KSP עבור כל האחרים. גישה זו היתה לא מאובטחת מכיוון ש- CAPI אינו תומך באלגוריתמים הצפנה מודרניים, המגביל את יכולות האבטחה.

עדכוני האבטחה של 14 באוקטובר 2025 הסירו טיפול מיוחד זה וכעת KSP משמש עבור כל האישורים.

קביעת ערכת ה- API לשימוש

אפליקציות שמקורן במפתחות RSA המנוהלות על-ידי ספק פתרונות ענן (CSP) עלולות להיכשל כאשר המפתח מנוהל על-ידי KSP. כדי לפתור בעיה זו, אפליקציות חייבות לזהות איזה ספק מנהל את המפתח ולהשתמש בערכת ה- API המתאימה (CAPI או CNG).

חשוב: אל תשתמש בפונקציות CryptAcquireContextW או CryptAcquireContextA כאשר ה- API אינו בשימוש. במקום זאת, השתמש בפונקציה CryptAcquireCertificatePrivateKey .

CryptAcquireCertificatePrivateKey (הפונקציה CryptAcquireCertificatePrivateKey)

קריאה ל- CryptAcquireCertificatePrivateKey מחזירה נקודת אחיזה (phCryptProvOrNCryptKey) מסוג HCRYPTPROV_OR_NCRYPT_KEY_HANDLE. נקודת אחיזה זו יכולה להיות:

  • נקודת אחיזה של CSP (HCRYPTPROV): השתמש בפונקציות CryptoAPI כגון CryptSignHash.

  • נקודת אחיזה של CNG (NCRYPT_KEY_HANDLE): השתמש בפונקציות CNG כגון NCryptSignHash.

הערה: בעת קריאה ל- CryptAcquireCertificatePrivateKey, הקפד לכלול את CRYPT_ACQUIRE_PREFER_NCRYPT_KEY_FLAG הפרמטר dwFlags.

כדי לקבוע את סוג נקודת האחיזה, בדוק את ערך pdwKeySpec :

ערך pdwKeySpec

API של הצפנה לשימוש

AT_KEYEXCHANGE או AT_SIGNATURE

CAPI

CERT_NCRYPT_KEY_SPEC

CNG (NG)

פתרון

עבודה זמנית זמינה עבור לקוחות המושפעים מהכיפת שינוי זה. מפתח רישום זמני זמין כדי להעביר את אופן הפעולה מ'אכיפה'למצב ביקורת .

חשוב: התמיכה במפתח רישום זה תוסר בעדכוני אפריל 2026.

נתיב רישום

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais

Type

REG_DWORD

שם ערך

DisableCapiOverrideForRSA

נתוני ערך

  • 1 = הפוך את התיקון לזמין

  • 0 או הוסר מפתח = השבת את התיקון – עבור למצב ביקורת

חומרי עזר

אחסון ולאחזור עיקריים

הפונקציה CryptAcquireCertificatePrivateKey (wincrypt.h)

CVE-2024-30098 | פגיעות של עקיפת תכונת האבטחה של שירותי ההקפאה של Windows

.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות