Artikel top billede

Microsoft nulstiller certifikater - husk at gøre dig klar

Microsoft nulstiller om kort tid alle certifikater med nøgler på under 1.024 bit. "Alle bør gennemgå deres aktiver," lyder det fra selskabet.

Computerworld News Service: Microsoft vil på tirsdag udgive to sikkerhedsopdateringer af udviklingsplatformen Visual Studio og konsollen til distribution af rettelser og software System Center Configuration Manager.

Denne lette måned - i august udsendte Microsoft til forskel ni opdateringer - vil give it-administratorerne bedre tid til at forberede opdateringen til oktober, der ugyldiggør alle certifikater med nøgler på under 1.024 bit.

"Vores kunder bør udnytte den lette opdatering i september til at gennemgå deres aktiver," lyder anbefalingen fra Angela Gunn fra Trustworthy Computing hos Microsoft.

Microsoft gjorde i juni første gang brugerne opmærksomme på, at selskabet vil trække alle certifikater med nøgler, der er kortere end 1.024 bit, med en meddelelse om at selskabet vil udgive en opdatering i august, der vil sørge for, at Windows ikke længere kan bruge de kortere nøgler.

Sendes automatisk ud

Microsoft frigav da også den omtalte opdatering i sidste måned, men som en valgfri download.

Næste måneds Patch Tuesday 9. oktober vil Microsoft dog føje denne opdatering til Windows Update, så den automatisk bliver sendt ud til alle.

Som virksomhed kan man selvfølgelig udskyde oktober-opdateringen ved hjælp af software til håndtering af opdateringer såsom Windows Server Update Service.

Andrew Storms, der er sikkerhedschef hos nCircle Security, anbefaler ligesom Microsoft, at man bruger denne måned til at forberede sig på opdateringen til oktober.

"Det er en af de ting, som folk måske har glemt, men hvis oktober-opdateringen bare glider igennem, så kan tingene bryde sammen."

Storms offentliggjor for kort tid siden et indlæg på nCircles blog, hvor han linker til adskillige artikler og supportdokumenter på Microsofts website, hvor næste måneds opdatering af den minimale nøglelængde beskrives.

Også andre sikkerhedseksperter giver denne anbefaling.

Du bør kigge nærmere på denne advisory

"For de fleste it-afdelinger ville dette være en måned uden så meget at lave, hvilket giver en fremragende mulighed for at kigge nærmere på Security Advisory 2661254 (KB2661254), som vil begynde at blive automatisk installeret i oktober," kommenterer Wolfgang Kandek, der er teknologidirektør for Qualys, i en e-mail.

Det anbefaler også Marcus Carey, der er sikkerhedsanalytiker hos Rapid7.

"Den lette patch-måned denne september gør det muligt for organisationer at forberede sig på dette, hvilket er godt, da det har potentiale til at få tingene til at bryde sammen, hvis applikationer stadig anvender de forældede certifikater," påpeger Carey.

Opdatere forældede certifikater

"Det virker nærmest som om, Microsoft med vilje giver folk en let patch-måned, så de kan fokusere på at opdatere deres forældede certifikater."

Det er slet ikke umuligt, mener Storms.

"De (Microsoft, red.) kunne have taget den administrative beslutning at udskyde andre opdateringer for at give store virksomheder tid til at arbejde på certifikaterne," siger han.

Denne taktik brugte Microsoft faktisk ifølge Storms i marts 2007, hvor selskabet slet ikke udsendte nogen sikkerhedsbulletiner for at give kunderne bedre tid til at udrulle den opdatering til sommertidsændringer, som var foranlediget af udbredte ændringer af praksis i USA.

Opdateringen i næste uge er da også mindre end tidligere års september-opdateringer, bemærker Storms:

I 2011 udgav Microsoft fem opdateringer i denne måned, mens antallet i 2010 og 2009 var henholdsvis 10 og fem.

Beslutningen om at ugyldiggøre certifikater med kortere - og dermed mere sårbare - nøgler er ansporet af Kaspersky Labs opdagelse af det avancerede spionage-værktøj Flame.

Flame infiltrerede netværk, hvorfra malwaren brugte en vifte af forskellige moduler til at stjæle oplysninger tilsyneladende til efterretningsformål.

Mareridtsscenarie

Et af Flames vildeste trick er blevet kaldt et mareridtsscenarie af sikkerhedseksperter:

Det lykkedes Flame at udnytte Microsofts opdaterings-service, Windows Update, til at inficere Windows-pc'er, der ellers havde alle relevante sikkerhedsopdateringer.

Microsoft reagerede på truslen ved at skrotte nogle af sine egne certifikater og øge sikkerheden for Windows Update.

I forbindelse med efterforskningen af Flame besluttede Microsoft at styrke certifikat-infrastrukturen i Windows. Resultatet er, at selskabet nu vil blokere adgang til certifikater med nøgler på under 1.024 bit.

"Jeg er sikker på, at det er noget, Microsoft altid har ønsket at gøre," siger Storm. "Men Microsoft ønsker også at understøtte alle sine kunder, og det gælder også de med meget ældre systemer, der er afhængige af kortere nøgler. Flame er dog kommet til at udgøre en god grund til at foretage denne ændring."

Selvom opdateringen i næste uge er i den lette ende, så mener Storms alligevel, at den er interessant. Han bemærker, at denne kommende Patch Tuesday ikke indeholder nogen rettelser af fejl i Internet Explorer, hvilket er første gang i fire måneder, at Microsofts browser ikke bliver rettet.

I juli offentliggjorde Microsoft, at selskabet vil gå bort fra den hidtidige praksis med kun at udgive rettelser til Internet Explorer hver anden måned og i stedet udgive rettelser til browseren, så snart de er klar.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere