Microsoft har til gode å forklare hvordan de klarte å lekke sine egne krypteringsnøkler.

Microsoft røpet egne kryptonøkler

– Utilsiktet tabbe.

«Ved et uhell» ble Microsofts kryptonøkler tilhørende SSL/TLS-serifikatet for domenet xboxlive.com lekket.

Det oppgir programvaregiganten selv i et sikkerhetsnotat denne uken.

Hvordan de kom i skade for å offentliggjøre de private krypteringsnøklene eller på hvilken måte, er ikke kjent.

Åpnet for angrep

Sertifikatet kan misbrukes i såkalte «man-in-the-middle»-angrep, der en angriper med tilgang til forbindelsen mellom en klient og servere kan dekryptere, avlytte eller manipulere datatrafikken. Det opplyser selskapet.

Det blir påpekt at sertifikatet ikke kunne brukes til å utstede nye sertifikater, forfalske andre domener enn xboxlive.com, og heller ikke kunne bli brukt til kodesignering.

Hendelsen berører samtlige utgaver av Windows som fortsatt støttes, men selskapet bedyrer at de ikke er kjent med faktiske angrep som kan ha utnyttet lekkasjen.

Det aktuelte sertifikatet skal ha blitt ugyldiggjort. Nøyaktig fra hvilket tidspunkt er mer uklart, men en gang etter 1. desember.

Ifølge Microsoft trenger ikke brukerne foreta seg noe spesielt, ettersom listen over troverdige sertifikater blir oppdatert automatisk i nyere utgaver av Windows, Windows Server, Window RT og mobil.

Til toppen