Die aktuellen Microsoft Betriebssysteme weisen eine Schwachstelle in dem Certificate Enrollment ActiveX Control auf, wodurch arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel vorhandene Zertifikate löschen können.

Betroffene Systeme

• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows Millennium
• Microsoft Windows NT 4.0
• Microsoft Windows 2000
• Microsoft Windows XP

Einfallstor
Arglistige Webseite, HTML-E-Mail bzw. Newsgruppenartikel

Auswirkung
Es können auf dem System existierende Zertifikate gelöscht werden. Betroffen sind z.B.:

• Digitale Zertifikate zur Verschlüsselung von E-Mails
• Secure Sockets Layer (SSL)-Zertifikate für die Webserverauthentifizierung
• Encrypting File System (EFS)-Zertifikate zur Verschlüsselung des lokalen Dateisystems unter Windows 2000/XP
• Zertifikate für die Netzwerksicherheit (z.B. durch Einsatz von Smartcards)
• trusted root-Zertifikate

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Das ActiveX Steuerelement Certificate Enrollment Control stellt unter Microsoft Windows die Möglichkeit der Anforderung von Zertifikaten (gemäß PKCS #10) und der Installation der erhaltenen Zertifikate zur Verfügung.

Beschreibung
Das Certificate Enrollment ActiveX Control weist eine Schwachstelle auf, durch die arglistige Webseiten, HTML-E-Mails bzw. Newsgruppenartikel auf existierende Zertifikate zugreifen können. Somit sind Angreifer zumindest in der Lage vorhandene Zertifikate zu löschen - es ist derzeit unklar, ob eine Manipulation von Zertifikaten über diese Schwachstelle möglich ist.

Zertifikate, die auf SmartCards gespeichert sind, können durch diese Schwachstelle nicht gelöscht werden.

Neben der Schwachstelle im Certificate Enrollment ActiveX Control weist auch das SmartCard Enrollment Control von Windows 2000/XP eine vergleichbare, aber nicht näher beschriebene Schwachstelle auf.

Workaround
Deaktivieren Sie die ActiveX Controls in allen Sicherheitszonen des Internet Explorers (Tools|Internet Options ...|Security|Custom Level|Run ActiveX controls and plug-ins).

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

• Microsoft Windows 98:
  http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp
• Microsoft Windows 98 Second Edition:
  http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp
• Microsoft Windows Me:
  http://download.microsoft.com/download/WINME/PATCH/24421/WINME/EN-US/323172USAM.EXE
• Microsoft Windows NT 4.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41747
• Microsoft Windows NT 4.0, Terminal Server Edition:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41361
• Microsoft Windows 2000:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41568
• Microsoft Windows XP:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598
• Microsoft Windows XP 64-bit Edition:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598

Ferner finden Sie auf den Webseiten des RUS-CERT tabellarische Auflistungen mit Downloadlinks zu dem FTP-Server der Universität Stuttgart unter:

• Windows 2000:
  http://cert.uni-stuttgart.de/win2000-updates.php
• Windows XP:
  http://cert.uni-stuttgart.de/os/ms/winxp-updates.php
• Windows NT 4.0:
  http://cert.uni-stuttgart.de/winnt-updates.php

Vulnerability ID

• CAN-2002-0699

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-048 Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates (Q323172)
• PKCS #10: Certification Request Syntax (RFC2314)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/