Drei Updates mit fehlenden oder ungültigen Dateisignaturen

Drei Updates mit fehlenden oder ungültigen Dateisignaturen

Postby hbuhrmester » 03.03.2019, 17:43

Beim Download aller Updates mit WSUS Offline Update 11.6 unter Windows XP sind mir drei Updates aufgefallen, die erst heruntergeladen wurden, bei der Überprüfung der digitalen Dateisignaturen mit Sigcheck aber umgehend wieder gelöscht wurden:

Code: Select all
02.03.2019 16:35:59,42 - Info: Downloaded/validated http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/02/windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab to ..\client\w100-x64\glb
02.03.2019 16:35:59,42 - Info: Downloaded/validated http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/02/windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab to ..\client\w100-x64\glb
02.03.2019 16:36:05,02 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\w100-x64\glb\windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab"
02.03.2019 16:36:05,02 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\w100-x64\glb\windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab"
02.03.2019 17:05:34,54 - Info: Downloaded/validated http://download.windowsupdate.com/d/msdownload/update/software/secu/2018/08/offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab to ..\client\ofc\glb
02.03.2019 17:06:20,85 - Warning: Deleted unsigned file "G:\Projekte\wsusoffline_current\client\ofc\glb\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab"


Die beiden Windows-10-Updates werden bei einer manuellen Überprüfung mit Sigcheck schlicht als "Unsigned" bezeichnet. Die in die Dateinamen eingebetteten SHA-1-Hashe sind aber gültig, wie Sigcheck und Hashdeep unabhängig voneinander bestätigen:

Code: Select all
G:\Projekte\wsusoffline_current\bin>sigcheck.exe -h windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab

Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

G:\Projekte\wsusoffline_current\bin\windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab:
        Verified:       Unsigned
        File date:      02:23 08.02.2019
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Prod version:   n/a
        File version:   n/a
        MachineType:    n/a
        MD5:    5DD875A7AED812DD0AA298B0EF938771
        SHA1:   C24EA4715FBCEB92A7C0429707ACBA7E559B13E5
        PESHA1: n/a
        PE256:  n/a
        SHA256: ACD3222C62BFF797089CF4A74C6C17A3F99CCD7BD16B82372C59F30D6D8B6B8B


G:\Projekte\wsusoffline_current\bin>sigcheck.exe -h windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab

Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

G:\Projekte\wsusoffline_current\bin\windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab:
        Verified:       Unsigned
        File date:      00:02 08.02.2019
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Prod version:   n/a
        File version:   n/a
        MachineType:    n/a
        MD5:    E2BA9E0BE0D2760E69269A32334A958E
        SHA1:   2D66EC44ECAE968815969EEE6E4A67AB43285B4E
        PESHA1: n/a
        PE256:  n/a
        SHA256: 17A49CA8F4140EC8CCF8FC72F3F250A00D8B204DF3A085ADC8F927E6CBE69CA3


G:\Projekte\wsusoffline_current\bin>..\client\bin\hashdeep.exe -b -c sha1 windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
%%%% HASHDEEP-1.0
%%%% size,sha1,filename
## Invoked from: G:\Projekte\wsusoffline_current\bin
## G:\Projekte\wsusoffline_current\bin> ..\client\bin\hashdeep.exe -b -c sha1 windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab
##
1309041865,c24ea4715fbceb92a7c0429707acba7e559b13e5,windows10.0-kb4487020-x64_c24ea4715fbceb92a7c0429707acba7e559b13e5.cab
1434944292,2d66ec44ecae968815969eee6e4a67ab43285b4e,windows10.0-kb4487026-x64_2d66ec44ecae968815969eee6e4a67ab43285b4e.cab


Das bedeutet, dass diese Dateien unbeschädigt heruntergeladen wurden und tatsächlich unsigniert sind.


Die manuelle Überprüfung der Office-Datei mit Sigcheck ergibt:

Code: Select all
G:\Projekte\wsusoffline_current\bin>sigcheck -h offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab

Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com

G:\Projekte\wsusoffline_current\bin\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab:
        Verified:       Die Signatur des Zeitstempels bzw. des Zertifikats konnte nicht bestätigt werden oder ist ungültig.
        File date:      18:49 01.08.2018
        Publisher:      Microsoft Corporation
        Description:    n/a
        Product:        n/a
        Prod version:   n/a
        File version:   n/a
        MachineType:    n/a
        MD5:    597D76D2770477C9EC299C40CDD859CE
        SHA1:   12F0A2CAC32FF7BAF38C9198403BE5F9D36A4227
        PESHA1: 5DA51E6898BCCDA43A6336E663A6873CFFBFBF30
        PE256:  n/a
        SHA256: A937A012EEBE5F68BD862D6E62282E1A54AF04784FC95AE378E44173897629F8


Der in den Dateinamen eingebettete SHA-1-Hash ist aber wiederum gültig:

Code: Select all
G:\Projekte\wsusoffline_current\bin>..\client\bin\hashdeep.exe -c sha1 offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
%%%% HASHDEEP-1.0
%%%% size,sha1,filename
## Invoked from: G:\Projekte\wsusoffline_current\bin
## G:\Projekte\wsusoffline_current\bin> ..\client\bin\hashdeep.exe -c sha1 offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab
##
3342058,12f0a2cac32ff7baf38c9198403be5f9d36a4227,G:\Projekte\wsusoffline_current\bin\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab


Das bedeutet, dass die Datei unbeschädigt ist, und dass tatsächlich nur das Zertifikat abgelaufen ist (oder ähnliches).

Vielleicht liegt es auch am alten Windows XP oder der alten Version von Sigcheck, aber ich glaube das eher nicht:
hbuhrmester
 
Posts: 382
Joined: 11.10.2013, 20:59

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 03.03.2019, 18:44

Die kleine Office-Datei kann ich auch unter XP erfolgreich prüfen:
Code: Select all
e:\Programme>sigcheck.exe -h e:\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab

Sigcheck v2.30 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

e:\offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab:
        Verified:       Signed
        Signing date:   00:30 31.07.2018
        Publisher:      Microsoft Corporation
        Company:        n/a
        Description:    n/a
        Product:        n/a
        Prod version:   n/a
        File version:   n/a
        MachineType:    n/a
        MD5:    597D76D2770477C9EC299C40CDD859CE
        SHA1:   12F0A2CAC32FF7BAF38C9198403BE5F9D36A4227
        PESHA1: 5DA51E6898BCCDA43A6336E663A6873CFFBFBF30
        PE256:  n/a
        SHA256: A937A012EEBE5F68BD862D6E62282E1A54AF04784FC95AE378E44173897629F8
        IMP:    n/a
Die großen Win10-Updates werde ich überprüfen, wenn ich wieder zuhause an einer schnellen Internetleitung hänge (entweder heute abend noch oder morgen im Laufe des Tages).

Entweder ist das Sigcheck 2.1 zu alt oder MS verteilt mal wieder unterschiedliche Updatedateien über ihre CDNs (unwahrscheinlich, da wir beide dieselben Hashes haben), oder es spielt noch ein andere Faktor mit rein.

Grüße
Dalai
Dalai
 
Posts: 938
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 04.03.2019, 01:39

Update: Das kleine Office-Update kann sogar über dessen Eigenschaften > Register Digitale Signaturen verifiziert werden.

Die Problematik für die großen Win10-Updates kann ich bestätigen. Unter XP 32-bit (SP3, mit den alten Patchständen, die ich grade greifbar hatte) sind die Signaturen nicht zu verifizieren oder auch nur zu erkennen. Gleiches gilt für ein ungepatchtes XP 64-bit (SP2). Aber: Unter einem XP 64-bit (SP2) mit neuerem Patchstand ist Sigcheck in der Lage, die Signatur zu verifizieren. Das Register Digitale Signaturen fehlt aber trotzdem - und das ist nicht auf die beiden Updates beschränkt sondern betrifft alle Updates größer 1000 MiB (oder sowas in der Richtung).

Grüße
Dalai
Dalai
 
Posts: 938
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby boco » 04.03.2019, 01:49

Image

Dieses Zertifikat kennt das alte SigCheck wohl nicht? Allerdings sind auch andere Updates damit signiert...

Beide Windows-10-Updates sind bei mir (W7x64) korrekt signiert.
Microsoft update catalog: http://catalog.update.microsoft.com/v7/site/
Windows Install media download: https://support.microsoft.com/en-us/help/15088/windows-create-installation-media
boco
 
Posts: 2209
Joined: 24.11.2009, 17:00
Location: Germany

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 04.03.2019, 17:05

Nach stundenlanger Untersuchung kann ich einen Teilerfolg verbuchen: KB2749655 (aktualisiert die wintrust.dll) und ggf. KB2868626 (aktualisiert die crypt32.dll) entscheiden darüber, ob ein XP 64-bit die Signatur prüfen kann oder nicht.

Leider helfen beide Updates unter XP 32-bit nicht, trotz sichtbarem Update der DLLs ... :cry:

Hat jemand ein voll gepatchtes XP (32-bit), mit dem er die Signaturen der Updates prüfen kann, und wenn ja, sind diese zu verifizieren?

Grüße
Dalai
Dalai
 
Posts: 938
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby hbuhrmester » 04.03.2019, 19:15

Hat jemand ein voll gepatchtes XP (32-bit), mit dem er die Signaturen der Updates prüfen kann, und wenn ja, sind diese zu verifizieren?


Naja, das habe ich vor kurzem selber ausprobiert: Ich habe am 14.01.2019 alles heruntergeladen, was mit WSUS Offline Update 9.2.4 ESR zu bekommen ist, und dann habe ich auf einem neu installierten Windows XP alles installiert, inklusive aller .NET Frameworks bis 4.0 und Silverlight. Das diente auch dazu, noch einmal zu überprüfen, ob in der Version 9.2.4 ESR etwas fehlt.

Ich habe allerdings keine zusätzlichen oder optionalen Updates von der Microsoft Update Website installiert, weil ich mit dem alten Windows XP gar nicht erst online gehen wollte.

An Anwendungen habe ich nur wenig installiert: 7-Zip, IrfanView, Notepad++, VirtualBox, WinCDEmu und ein altes Computerspiel. Mein Produktivsystem ist jetzt halt Debian 9 Stretch.

Das Ergebnis mit den beiden Windows-10-Updates bleibt bestehen: Sie werden von Sigcheck 2.1 beide als "unsigned" ausgegeben. Ich bin mir sicher, dass es irgendwie an der Größe liegt: Diese zwei Updates sind die größten im ganzen client-Ordner, und die einzigen mit einer Größe von über 1 GB.

Allerdings unterstützt Sigcheck (angeblich) schon seit Version 1.9.2 Dateien bis zu einer Größe von 4 GB, und seit Version 2.2 Dateien mit über 4 GB.

hbuhrmester
 
Posts: 382
Joined: 11.10.2013, 20:59

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby hbuhrmester » 04.03.2019, 19:56

Die fehlende Signatur der Office-Datei offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab konnte ich mittlerweile beheben. Es ist wohl so:

Jede Datei hat eine Code-Signatur und eine Gegensignatur für den Zeitstempel.

Für jede Signatur gibt es einen Zertifizierungspfad mit drei Stufen, von einem Root-Zertifikat über ein Zwischenzertifikat bis zu dem Endzertifikat, das für die digitale Signatur verwendet wurde:

Code: Select all
Code-Signatur:
    Microsoft Root Certificate Authority    Stammzertifikat
    — Microsoft Code Signing PCA            Zwischenzertifikat
      — Microsoft Corporation               Endzertifikat

Gegensignatur:
    Microsoft Root Certificate Authority    Stammzertifikat
    — Microsoft Time-Stamp PCA              Zwischenzertifikat
      — Microsoft Time-Stamp Service        Endzertifikat


Von den Zwischen- und Endzertifikaten kann es verschiedene Versionen mit unterschiedlichen Gültigkeits-Zeiträumen geben, aber der angezeigte Name bleibt jeweils gleich.

Auf meinem Windows XP war zunächst nur das Root-Zertifikat installiert, aber keines der Zwischen- oder Endzertifikate.

Die Zwischen- und Endzertifikate, d.h. die öffentlichen Schlüssel, sind anscheinend in den Dateien selber enthalten. Sie müssen sich aber auf ein gültiges Root-Zertifikat zurückführen lassen.

Bei der fehlerhaften Office-Datei offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab fehlt aber das Zwischenzertifikat Microsoft Time-Stamp PCA. Deshalb konnte das Endzertifikat Microsoft Time-Stamp Service nicht verifiziert werden. Die Zertifikate für die Code-Signierung waren dagegen gültig. Die Code-Signatur war letztlich ungültig, weil die Gegensignatur für den Zeitstempel ungültig war. Dann lässt sich nicht überprüfen, ob die Code-Signatur im Gültigkeitszeitraum des verwendeten Zertifikats liegt.

Eigenschaften der Datei offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab mit ungültigen Signaturen

Wenn die Zwischen- und Endzertifikate in den Dateien selber enthalten sind, dann kann man sie aus dem Eigenschaften-Dialog der Dateien kopieren und installieren. Wenn die Zertifikate angezeigt werden und noch nicht auf dem System installiert sind, dann wird jeweils eine Taste "Zertifikat installieren..." angezeigt.

Das Bildschirmfoto für die Datei eqnedt322010-kb4011610-fullfile-x64-de-de.exe zeigt, wie man die beiden Endzertifikate auswählen und installieren kann. Dies kann für die beiden Zwischenzertikate wiederholt werden, indem man sie aus dem Reiter Zertifizierungspfad auswählt.

Auf diese Weise konnte ich fünf neue Zertifikate auf meinem Windows XP installieren. Sie wurden automatisch in die Zertifikatsstores Zwischenzertifizierungsstellen und Andere Personen kopiert.

Zwischenzertifizierungsstellen
— Microsoft Code Signing PCA
— Microsoft Time-Stamp PCA

Andere Personen (Endzertifikate)
— Microsoft Corporation
— Microsoft Time-Stamp Service, gültig bis 07.09.2018
— Microsoft Time-Stamp Service, gültig bis 20.06.2016

Danach konnte auch die Office-Datei eqnedt322010-kb4011610-fullfile-x64-de-de.exe verifiziert werden. Sigcheck zeigt nun keinen Fehler mehr an.

Eigenschaften der Datei offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab mit gültigen Signaturen

Dann bleibt nur die Frage: Wie sollen Zwischen- und Endzertifikate normalerweise installiert werden? Dass man sie einzeln aus dem Eigenschaften-Dialog von anderen Updates installieren muss, ist wohl kaum der übliche Weg.
hbuhrmester
 
Posts: 382
Joined: 11.10.2013, 20:59

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 04.03.2019, 22:39

Ich hoffe, ich habe gerade nichts überlesen:

Helfen diese Root-CA-Updates?
:arrow: viewtopic.php?f=7&t=6653

Werde jetzt aber mit einem Slipstream-WinXP (2014-04 + WannaCry) und den Root-CA-Updates mal rumprobieren.

[EDIT]
Fehler kann auf einem voll upgedateten Windows XP SP3 mit RootCA-Update nachvollzogen werden.
[/EDIT]

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3373
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 04.03.2019, 23:53

Die Zertifikate (rootsupd.exe und rvkroots.exe) hab ich auf den XP-Clients gleich zu Anfang beide installiert. Wahrscheinlich hatte ich deswegen die nötigen (Timestamp-)Certs bereits drin. Trotzdem komme ich bei XP 32-bit nicht weiter, nur bei XP 64-bit geht's mit den genannten Windows Updates. Die Beobachtung, dass es was mit der Größe der Updates zu tun hat, habe ich ja bereits weiter oben bestätigt/geschildert. Ist das Update zu groß (über ~1 GiB):
  • verschwindet die Registerkarte Digitale Signaturen aus den Dateieigenschaften (XP 32+64-bit)
  • lässt sich die Signatur nicht mehr verifizieren unter XP 32-bit sowie unter XP 64-bit ohne die genannten Updates
  • zeigt Sigcheck kein "Signing date" mehr an (XP 32+64-bit)
Die kleineren Win10-Updates verhalten sich ganz normal, auch unter XP.

Ich meine, letztlich ist es egal, denn in ein paar Monaten, wenn die Updates ausschließlich SHA2-Signaturen haben, ist es eh Essig mit Windows älter 7.

Grüße
Dalai
Dalai
 
Posts: 938
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 05.03.2019, 00:10

Ich konnte den Fehler gerade ebenfalls unter einem nie mit dem Internet verbundenen Windows 7 x86 und x64 (beide up2date) nachvollziehen.
Er tritt dort ebenfalls auf.

Ursache scheint zu sein, dass die Zertifikatkette nicht vollständig zurückverfolgt werden kann (ist oben ja bereits genannt worden).
Weder Windows XP noch Windows 7 bringen das Time-Stamp-Zertifikat per Default mit.
Vielmehr lädt Windows 7 es (bei bestehender Internetverbindung) automatisch herunter, sobald es gebraucht wird.

Frage: War das 64-bit XP mit dem Internet verbunden?

Für Experimente (ungetestet, sollte aber funktionieren) kann man diesen Auto-Download abschalten:
Code: Select all
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot]
"DisableRootAutoUpdate"=dword:00000001


Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3373
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Next

Return to Anregungen / Suggestions

Who is online

Users browsing this forum: No registered users and 3 guests