Consultoria de Segurança

Comunicado de Segurança da Microsoft 2798897

Certificados digitais fraudulentos podem permitir falsificação

Publicado: terça-feira, 3 de janeiro de 2013 | Atualizado: January 14, 2013

Versão: 1.1

Informações Gerais

Resumo executivo

A Microsoft está ciente de ataques ativos usando um certificado digital fraudulento emitido pela TURKTRUST Inc., que é uma CA presente no Repositório de Autoridades de Certificação Raiz Confiáveis. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários. Esse problema afeta todas as versões com suporte do Microsoft Windows.

criou incorretamente duas CAs subsidiárias (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). A CA subsidiária *.EGO.GOV.TR foi então usada para emitir um certificado digital fraudulento para *.google.com. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra várias propriedades da Web do Google.

Para ajudar a proteger os clientes contra o uso fraudulento desse certificado digital, a Microsoft está atualizando a lista de certificados confiáveis (CTL) e está fornecendo uma atualização para todas as versões com suporte do Microsoft Windows que remove a confiança dos certificados que estão causando esse problema. Para obter mais informações sobre esses certificados, consulte a seção Perguntas frequentes deste comunicado.

Recomendação. Para sistemas que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), incluindo Windows 8, Windows RT, Windows Server 2012 e dispositivos que executam o Windows Phone 8, nenhuma ação é necessária, pois esses sistemas serão protegidos automaticamente.

Para clientes do Windows XP e Windows Server 2003 ou clientes que optam por não instalar o atualizador automático de certificados revogados, a Microsoft recomenda que a atualização 2798897 seja aplicada imediatamente usando o software de gerenciamento de atualizações, verificando se há atualizações usando o serviço Microsoft Update ou baixando e aplicando a atualização manualmente. Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.

Detalhes do Comunicado

Referências de edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 2798897 

Software e dispositivos afetados

Este comunicado aborda os seguintes softwares e dispositivos afetados.

Softwares afetados
Sistema operacional
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edição Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edição Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64
Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para x64
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 for Itanium-Based Systems
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
Windows 8
Windows Server 2012
Windows RT
Opção de instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)
Windows Server 2012 (instalação Server Core)
Dispositivos afetados
Windows Phone 8

 

Dispositivos não afetados
Windows Phone 7
Windows Phone 7.5
Windows Phone 7.8

 

Perguntas frequentes

Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que a Microsoft confirmou que um certificado digital fraudulento foi usado em ataques ativos que afetam várias propriedades da Web do Google. Este certificado e dois outros certificados não foram confiáveis e adicionados à CTL. Para sistemas que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), incluindo Windows 8, Windows RT e Windows Server 2012, nenhuma ação é necessária, pois esses sistemas serão protegidos automaticamente.

Para clientes do Windows XP e Windows Server 2003, clientes que não instalaram o Artigo 2677070 Base de Dados de Conhecimento Microsoft ou para quaisquer sistemas desconectados que não possam se conectar ao Microsoft Update, está disponível uma atualização para todas as versões com suporte do Microsoft Windows que resolve o problema.

O que causou o problema?
A Microsoft tomou conhecimento de ataques ativos usando um certificado digital fraudulento emitido pela TURKTRUST Inc., que é uma autoridade de certificação presente no Trusted Root Certification Authorities Store. criou incorretamente duas CAs subsidiárias (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). O *.EGO.GOV.TR foi usado para emitir um certificado digital fraudulento para *.google.com. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra várias propriedades da Web do Google.

Durante a investigação, os certificados *.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org foram identificados como tendo sido emitidos incorretamente; eles não tinham extensões de CRL ou OCSP e foram emitidos incorretamente como certificados de entidade final. Portanto, como medida de precaução, estamos revogando a confiança desses certificados também.

Esta atualização aborda outros certificados digitais?
Sim, além de abordar os certificados descritos neste comunicado, esta atualização é cumulativa e inclui certificados digitais descritos em comunicados anteriores: 2524375 do Comunicado de Segurança da Microsoft, 2607712 do Comunicado de Segurança da Microsoft, 2641690 do Comunicado de Segurança da Microsoft, 2718704 do Comunicado de Segurança da Microsoft e 2728973 do Comunicado de Segurança da Microsoft.

O que é criptografia?
A criptografia é a ciência de proteger a informação, convertendo-a entre seu estado normal e legível (chamado de texto sem formatação) e aquele em que os dados são obscurecidos (conhecido como texto cifrado).

Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado de volta em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto sem formatação.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública junto com informações sobre ela (quem a possui, para que pode ser usada, quando expira e assim por diante).

Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.

O que é uma autoridade de certificação (AC)?   As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de Certificados Confiáveis (CTL)?   Uma relação de confiança deve existir entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se as entidades ou pessoas são quem dizem ser. Um certificado é emitido para uma entidade por um terceiro que é confiável por ambas as outras partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de confiança de certificado.

O que um invasor pode fazer com esses certificados?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra as seguintes propriedades da Web:

  • *.google.com
  • *.android.com
  • *.appengine.google.com
  • *.cloud.google.com
  • *.google-analytics.com
  • *.google.ca
  • *.google.cl
  • *.google.co.in
  • *.google.co.jp
  • *.google.co.uk
  • *.google.com.ar
  • *.google.com.au
  • *.google.com.br
  • *.google.com.co
  • *.google.com.mx
  • *.google.com.tr
  • *.google.com.vn
  • *.google.de
  • *.google.es
  • *.google.fr
  • *.google.hu
  • *.google.it
  • *.google.nl
  • *.google.pl
  • *.google.pt
  • *.googleapis.cn
  • *.googlecommerce.com
  • *.gstatic.com
  • *.urchin.com
  • *.url.google.com
  • *.youtube-nocookie.com
  • *.youtube.com
  • *.ytimg.com
  • android.com
  • g.co
  • goo.gl
  • google-analytics.com
  • google.com
  • googlecommerce.com
  • urchin.com
  • youtu.be
  • youtube.com

O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.

O que a Microsoft está fazendo para ajudar a resolver esse problema?
Embora esse problema não resulte de um problema em nenhum produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização para ajudar a proteger os clientes. A Microsoft continuará a investigar esse problema e poderá fazer alterações futuras na CTL ou lançar uma atualização futura para ajudar a proteger os clientes.

Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft?
Para sistemas que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), incluindo Windows 8, Windows RT e Windows Server 2012, você pode verificar o log do Aplicativo no Visualizador de Eventos para obter uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informações
  • IDENTIFICAÇÃO de evento: 4112
  • Descrição: Atualização automática bem-sucedida da lista de certificados não permitidos com data efetiva: segunda-feira, 31 de dezembro de 2012 (ou posterior).

Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in MMC de certificados, verifique se os seguintes certificados foram adicionados à pasta Certificados não confiáveis:

Certificado Emitido por Impressão Digital
*.google.com *.EGO.GOV.TR 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3
e-islem.kktcmerkezbankasi.org TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri F9 2B E5 26 6C C0 5D B2 DC 0D C3 F2 DC 74 E0 2D EF D9 49 CB
*.EGO.GOV.TR TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri C6 9F 28 C8 25 13 9E 65 A6 46 C4 34 AC A5 A1 D2 00 29 5D B1

Observação Para obter informações sobre como exibir certificados com o snap-in do MMC, consulte o artigo do MSDN, Como: Exibir certificados com o snap-in do MMC.

Ações sugeridas

Para versões suportadas do Microsoft Windows

Os clientes que têm o atualizador automático de certificados revogados (Artigo 2677070 (em inglês) da Microsoft Knowledge Base não precisarão executar nenhuma ação porque a CTL será atualizada automaticamente.

Observação Os dispositivos que executam o Windows Phone 8 contêm o atualizador automático de certificados revogados e serão atualizados automaticamente.

Para administradores e instalações corporativas que desejam ser protegidos automaticamente usando o atualizador automático de certificados revogados, consulte o Artigo 2677070 (em inglês) da Microsoft Knowledge Base para ajudar a garantir que ele seja apropriado para seu ambiente, pois sistemas desconectados ou ambientes com filtragem de saída estrita exigem consideração adicional.

Para clientes do Windows XP e Windows Server 2003 ou clientes que optam por não instalar o atualizador automático de certificados revogados, a Microsoft recomenda que a atualização 2798897 seja aplicada imediatamente usando o software de gerenciamento de atualizações, verificando se há atualizações usando o serviço Microsoft Update ou baixando e aplicando a atualização manualmente. Consulte o Artigo 2798897 da Base de Dados de Conhecimento Microsoft para obter links para download.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.

  • Mantenha o software Microsoft atualizado

    Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Outras Informações

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • Adam Langley e a Equipe de Segurança do Google Chrome por chamar nossa atenção para o incidente e trabalhar conosco na resposta

Programa de Proteção Ativa da Microsoft (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Suporte

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (3 de janeiro de 2013): Comunicado publicado.
  • V1.1 (14 de janeiro de 2013): Corrigida a data efetiva da lista de certificados não permitidos para "Segunda-feira, 31 de dezembro de 2012 (ou posterior)" na entrada de Perguntas frequentes, "Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft?"

Construído em 2014-04-18T13:49:36Z-07:00