Avviso di sicurezza
Microsoft Security Advisory 2718704
Pubblicato: 3 giugno 2012 | Aggiornamento: 13 giugno 2012
Versione: 1.1
Microsoft è a conoscenza degli attacchi attivi che usano certificati digitali non autorizzati derivati da un'autorità di certificazione Microsoft. Un certificato non autorizzato può essere usato per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. Questo problema interessa tutte le versioni supportate di Microsoft Windows.
Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows. L'aggiornamento revoca l'attendibilità dei certificati CA intermedi seguenti:
- Microsoft Enforced Licensing Intermediate PCA (2 certificati)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
Elemento consigliato. Per le versioni supportate di Microsoft Windows, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2718704 |
Questo avviso illustra i seguenti dispositivi e software interessati.
| Software interessato |
|---|
| Sistema operativo |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit |
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per x64 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) |
| Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core) |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) |
| Dispositivi non interessati |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Perché questo avviso è stato rivisto il 13 giugno 2012?
Microsoft ha rivisto questo avviso per informare i clienti che, dopo ulteriori indagini, Microsoft ha stabilito che Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5 dispositivi non sono interessati dal problema.
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è notificare ai clienti che Microsoft ha confermato che due certificati non autorizzati sono stati rilasciati da Microsoft e vengono usati in attacchi attivi. Durante l'indagine, è stato rilevato che una terza autorità di certificazione ha rilasciato certificati con crittografie deboli.
Microsoft ha rilasciato un aggiornamento per tutte le versioni supportate di Microsoft Windows che risolve il problema.
Questo aggiornamento risolve eventuali altri certificati digitali non autorizzati?
Sì, oltre a risolvere i tre certificati non autorizzati descritti in questo avviso, questo aggiornamento è cumulativo e risolve i certificati digitali non autorizzati descritti negli avvisi precedenti: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712 e Microsoft Security Advisory 2641690.
Windows 8 Consumer Preview è interessato dal problema risolto in questo avviso?
Sì. L'aggiornamento è disponibile per la versione Windows 8 Consumer Preview. I clienti con Windows 8 Consumer Preview sono invitati a applicare gli aggiornamenti ai propri sistemi. Gli aggiornamenti sono disponibili solo in Windows Update.
Windows 8 Release Preview è interessato dal problema risolto in questo avviso?
Sì. L'aggiornamento è disponibile per la versione di Windows 8 Release Preview. I clienti con Windows 8 Release Preview sono invitati ad applicare gli aggiornamenti ai sistemi. Gli aggiornamenti sono disponibili solo in Windows Update.
Che cos'è la crittografia?
La crittografia è la scienza della protezione delle informazioni convertendola tra il normale stato leggibile (chiamato testo non crittografato) e quello in cui i dati vengono nascosti (noti come testo crittografato).
In tutte le forme di crittografia, viene usato un valore noto come chiave insieme a una procedura denominata algoritmo di crittografia per trasformare i dati di testo non crittografato in testo crittografato. Nel tipo più familiare di crittografia, crittografia a chiave privata, il testo crittografato viene trasformato in testo non crittografato usando la stessa chiave. Tuttavia, in un secondo tipo di crittografia, la crittografia a chiave pubblica viene usata una chiave diversa per trasformare il testo crittografato in testo non crittografato.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è un pezzo di dati antimanomissione che raggruppa una chiave pubblica insieme a informazioni su di esso, chi lo possiede, per cosa può essere usato, quando scade e così via.
Quali sono i certificati usati per?
I certificati vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.
Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Che cos'è un elenco di certificati attendibili (CTL)?
Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.
Cosa ha causato il problema?
Microsoft è a conoscenza degli attacchi attivi che usano certificati digitali non autorizzati derivati da un'autorità di certificazione Microsoft. Un certificato non autorizzato può essere usato per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. Questo problema interessa tutte le versioni supportate di Microsoft Windows.
Cosa può essere usato da un utente malintenzionato per eseguire il problema?
Un utente malintenzionato potrebbe usare questi certificati per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cosa sta facendo Microsoft per risolvere questo problema?
È stato aggiornato l'archivio certificati non attendibile per rimuovere l'attendibilità nelle autorità di certificazione Microsoft interessate.
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?
Per informazioni su come visualizzare i certificati, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).
Nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:
| Certificate | Rilasciato da | Identificazione personale |
|---|---|---|
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Enforced Licensing Intermediate PCA | Microsoft Root Authority | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Microsoft Enforced Licensing Registration Authority CA (SHA1) | Microsoft Root Certificate Authority | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento KB2718704 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento KB2718704, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti oppure controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2718704.
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.
Per altre informazioni su come rimanere al sicuro su Internet, visitare Microsoft Security Central.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
- V1.0 (3 giugno 2012): Avviso pubblicato.
- V1.1 (13 giugno 2012): avviso modificato per notificare ai clienti che i dispositivi Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5 non sono interessati dal problema.
Costruito al 2014-04-18T13:49:36Z-07:00