取締役 平社員 ブログ (ベータ版)

パソコン ( PC ) を安全に使えるような何かごとを徒然と書いてみたいと思います。  

 -無責管理

   当ページ記事により不具合、問題が発生した場合でも責任をもちません。


   情報セキュリティ系勉強会ポータルサイト  

  セキュリティ・キャンプ  (セキュリティ・キャンプ実施協議会)   Firefox ブラウザ無料ダウンロード 



続・(引用記事) マイクロソフト セキュリティ アドバイザリ (2607712): 不正なデジタル証明書により、なりすましが行われる

コンピュータ

certutil -urlcache * delete





先日の続きで、ブログが更新されてます。



マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2011/08/30/3449893.aspx
> 不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs


Windows Vista/7/XP とも "PKIoverheid" を表題に含む証明書は見当たりませんでした。




サポート技術情報 2328240 に従い、以下コマンドで、SSL 証明書キャッシュを削除してみました。Windows VistaWindows 7 です。




certutil -urlcache * delete



(図1)

certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
(画像サイズ 66.38 KB)

↑一度では削除しきれませんで、二度目に実行してもまだ削除されます。



(図2)

certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
certutil -urlcache * delete コマンドにより、古い証明書信頼リスト (CTL) のキャッシュを削除するの図。(Windows Vista) 。
(画像サイズ 98.91 KB)

↑三度目でやっと「データはこれ以上ありません」となります。


なお機体によっては、localhost (127.0.0.1) 用のモノが消えません。


Local Proxy みたいなので、ウイルスバスターのプロキシサービス (Trend Micro Proxy Service,TmProxy.exe) が現在抱えている Cache かなあと思います。



(図3)

certutil -urlcache * delete コマンドのエラー。(Windows XP)
certutil -urlcache * delete コマンドのエラー。(Windows XP)
(画像サイズ 98.91 KB)

Windows XP では、コマンドが見つからずにエラーとなります。



(図4)

certutil.exe コマンドの検索結果。(Windows XP Professional)
certutil.exe コマンドの検索結果。(Windows XP Professional)
(画像サイズ 33.69 KB)

↑ファイル名 "certutil*.*" にて、システムフォルダー、隠しファイル、サブフォルダーを検索するとこんな感じで、見当たらず。


XP にはほんとうに実装されていないのですね。Vista 以降では、C:\windows\system32\certutil.exe にあるようです。



なお、強制削除の場合は -f オプションみたいです。




certutil -f -urlcache * delete




(関連)

古い方から時系列。


インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110830_473860.html
> 「google.com」に対する偽SSL証明書が見つかる、認証局が取り消し -INTERNET Watch


マイクロソフト http://www.microsoft.com/japan/technet/security/advisory/2607712.mspx
> マイクロソフト セキュリティ アドバイザリ (2607712): 不正なデジタル証明書により、なりすましが行われる


Mozilla Security Blog http://blog.mozilla.com/security/2011/09/02/diginotar-removal-follow-up/
> DigiNotar Removal Follow Up at Mozilla Security Blog


Google Online Security Blog http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
> Google Online Security Blog: An update on attempted man-in-the-middle attacks


ITmedia ニュース http://www.itmedia.co.jp/news/articles/1109/05/news020.html
> MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効 - ITmedia ニュース


インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110905_475330.html
> 偽SSL証明書問題でMozillaが対応を説明、DigiNotarの証明書は恒久的に削除 -INTERNET Watch


CNET Japan http://japan.cnet.com/news/business/35006911/
> DigiNotarへのハッキング、FacebookやCIAなども影響か--証明書被害は500件以上に - CNET Japan


Microsoft http://blogs.technet.com/b/msrc/archive/2011/09/04/more-on-microsoft-s-response-to-the-diginotar-compromise.aspx
> More on Microsoft’s response to the DigiNotar compromise - MSRC - Site Home - TechNet Blogs


SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=11500
> ISC Diary | DigiNotar breach - the story so far


ITmedia ニュース http://www.itmedia.co.jp/news/articles/1109/06/news024.html
> GoogleMicrosoft、不正SSL証明書問題に追加対応 Chromeの安定版を再度更新 - ITmedia ニュース

※ "PKIoverheid" の件について言及。


マイクロソフト http://support.microsoft.com/kb/2328240
> Windows VistaWindows Server 2008、および以降のバージョンの Windows および Windows Server のアプリケーション ログにイベント ID 4107 またはイベント ID 11 が出力される


マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2011/08/30/3449893.aspx
> 不正なデジタル証明書に関する新規アドバイザリ 2607712 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs

※ [2011/09/05 追記] あり。2011/08/30 付け初出掲載。


これ、証明書の仕組みを知らない人にどうやって説明しましょうね? 偽印鑑電子版?


(追記 2011/09/07)

エフセキュアブログ http://blog.f-secure.jp/archives/50626009.html
> 「Diginotar」がBlack.Spookとイランのハッカーによりハッキング


インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20110906_475443.html
> DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 -INTERNET Watch


SANS Internet Storm Center http://isc.sans.edu/diary.html?storyid=11512
> ISC Diary | DigiNotar audit - intermediate report available


F-Secure Weblog http://www.f-secure.com/weblog/archives/00002231.html
> DigiNotar Hacker Comes Out - F-Secure Weblog : News from the Lab


(2011/09/07 11:08 追記の追記)

Microsoft http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx
> Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates - Security Research & Defense - Site Home - TechNet Blogs


The Tor Blog https://blog.torproject.org/blog/diginotar-damage-disclosure 



> DigiNotar Damage Disclosure | The Tor Blog 
(Snip)
> This is the list of CA roots that should probably never be trusted again:

> DigiNotar Cyber CA

> DigiNotar Extended Validation CA

> DigiNotar Public CA 2025

> DigiNotar Public CA - G2

> Koninklijke Notariele Beroepsorganisatie CA

> Stichting TTP Infos CA
(Snip)

※ 下2つがよく分からない。まだまだ ブラウザーの Update があるかも。



(覚え書き)



Mozilla は、DigiNotar社発行の証明書を初めから全て無効化した。

が、Google Chrome は問題の報告された(自社を騙る) 証明書しか無効にされておらず、DigiNotar社の発行した他社向けの証明書は有効のまま保持していた、と云う事らしいです。

実際に DigiNotar社の発行した他社向けの(Man In The Middle)攻撃が観測されたので、全て無効化する、と。

3月の CoMoDo 社の件では、侵害された証明書は特定されていたが、DigiNotar社の件はいまだに詳細不明で影響範囲が分からない、と云う対照的な状況にある、とのこと。

Microsoft 社のアドバイザリは、DigiNotar社の証明書を全て無効化する、と云う対応です。

Browser メーカーが足並みをそろえた、と言っています。

※ 某所 (w でのコメント@2011/09/04(JST)。09/02(現地時間)付 Mozillaのブログと、08/29(現地時間)付 Google のブログについて。




いじょうです。

    • -