Advisory Microsoft sulla sicurezza (2718704)

Perché questo advisory è stato rivisto il 13 giugno 2012? 
Lo scopo di questo advisory è informare i clienti che Microsoft ha eseguito numerose ricerche ed è in grado di affermare che i dispositivi Windows Mobile 6. x, Windows Phone 7 e Windows Phone 7.5 non sono interessati dal problema.

Qual è lo scopo di questo advisory? 
Lo scopo di questo advisory è informare i clienti che Microsoft ha accertato l'effettiva presenza di due certificati non autorizzati utilizzati in attacchi attivi. Durante le ricerche, è stata individuata una terza autorità di certificazione che ha emesso certificati con crittografia debole.

Microsoft ha emesso un aggiornamento che risolve il problema per tutte le versioni supportate di Microsoft Windows.

Questo aggiornamento risolve le vulnerabilità legate ai certificati digitali non autorizzati? 
Oltre a risolvere le vulnerabilità legate ai tre certificati non autorizzati descritti in questo advisory, questo aggiornamento è cumulativo, pertanto risolve le vulnerabilità legate a tutti i certificati digitali non autorizzati descritti negli advisory precedenti: Advisory Microsoft sulla sicurezza 2524375, Advisory Microsoft sulla sicurezza 2607712 e Advisory Microsoft sulla sicurezza 2641690.

Windows 8 Consumer Preview è interessato dalla vulnerabilità risolta in questo advisory?   
Sì. L'aggiornamento è disponibile per la versione di Windows 8 Consumer Preview. Agli utenti di Windows 8 Consumer Preview si consiglia di applicare gli aggiornamenti nei sistemi in uso. Gli aggiornamenti sono disponibili solo in Windows Update.

Windows 8 Release Preview è interessato dalla vulnerabilità risolta in questo advisory?  
Sì. L'aggiornamento è disponibile per la versione di Windows 8 Release Preview. Agli utenti di Windows 8 Release Preview si consiglia di applicare gli aggiornamenti nei sistemi in uso. Gli aggiornamenti sono disponibili solo in Windows Update.

Che cos'è la crittografia?
La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.

In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una serie di dati a prova di scasso che racchiude una chiave pubblica e le relative informazioni: il proprietario, lo scopo, la scadenza e altro ancora.

Per cosa sono utilizzati i certificati?
I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.

Che cos'è un Elenco di certificati attendibili (CTL)?
È necessario che esista una relazione di trust tra il destinatario di un messaggio firmato e il mittente del messaggio. Un metodo per stabilire tale attendibilità è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano effettivamente chi affermano di essere. Un certificato viene rilasciato da un'entità terza considerata affidabile da entrambi le parti. In questo modo, ciascun destinatario di un messaggio firmato decide se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di creare applicazioni in grado di verificare automaticamente i certificati in base a un elenco predefinito di certificati e fonti affidabili. Quest'elenco di entità attendibili (chiamate soggetti) è chiamato Elenco dei certificati attendibili (CTL, Certificate Trust List ). Per ulteriori informazioni, vedere l'articolo MSDN, Certificate Trust Verification.

Cosa ha causato il problema?
Microsoft è a conoscenza di attacchi attivi che utilizzano certificati digitali non autorizzati provenienti da un'Autorità di certificazione Microsoft. Un certificato non autorizzato potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". Questo problema interessa tutte le versioni supportate di Microsoft Windows.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Cosa fa Microsoft per risolvere questo problema?
Microsoft ha aggiornato l'archivio locale delle certificazioni non attendibili per revocare l'attendibilità delle autorità di certificazione Microsoft interessate.

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft?  
Per informazioni su come visualizzare i certificati, consultare l'articolo MSDN Procedura: visualizzare certificati con lo snap-in MMC.

Nello snap-in MMC Certificati, verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Per le versioni supportate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento KB2718704 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente l'aggiornamento KB2718704, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2718704.