Assessoria de Segurança
Comunicado de Segurança da Microsoft 2524375
Certificados digitais fraudulentos podem permitir falsificação
Publicado: terça-feira, 23 de março de 2011 | Atualizado: July 06, 2011
Versão: 5.0
Informações Gerais
Resumo Executivo
A Microsoft está ciente de nove certificados digitais fraudulentos emitidos pela Comodo, uma autoridade de certificação presente no Trusted Root Certification Authorities Store, em todas as versões suportadas dos dispositivos Microsoft Windows, Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune HD. A Comodo informou a Microsoft em 16 de março de 2011 que nove certificados haviam sido assinados em nome de terceiros sem validar suficientemente sua identidade. Esses certificados podem ser usados para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer.
Esses certificados afetam as seguintes propriedades da Web:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificados)
- login.skype.com
- addons.mozilla.org
- "Administrador Global"
A Comodo revogou esses certificados e eles estão listados na atual Lista de Revogação de Certificados (CRL) da Comodo. Além disso, os navegadores que habilitaram o OCSP (Online Certificate Status Protocol) validarão interativamente esses certificados e bloquearão seu uso.
Está disponível uma atualização para ajudar a resolver este problema para todas as versões suportadas dos dispositivos Windows, Windows Mobile 6.x e Zune HD. A partir de 3 de maio de 2011, a atualização também está começando a ser entregue aos clientes do Windows Phone 7. Para obter mais informações sobre esta atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para versões suportadas do Microsoft Windows, normalmente não é necessária nenhuma ação dos clientes para instalar esta atualização, porque a maioria dos clientes tem a atualização automática habilitada e esta atualização será baixada e instalada automaticamente. Para obter mais informações, incluindo como instalar manualmente esta atualização e como instalá-la em dispositivos Windows Mobile 6.x, Windows Phone 7 e Zune HD, consulte a seção Ações sugeridas deste comunicado.
Detalhes do Comunicado
Referências de Edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2524375 |
Software e dispositivos afetados
Este comunicado descreve os seguintes softwares e dispositivos.
| Software afetado |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2* |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2* |
| Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* |
| Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Dispositivos afetados |
| Windows Móvel 6.x |
| Windows Phone 7 |
| Microsoft Kin |
| Zune HD 16GB, Zune HD 32GB e Zune HD 64GB |
*Instalação Server Core afetada. Esta atualização aplica-se, com a mesma classificação de gravidade, às edições suportadas do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quer tenham ou não sido instaladas utilizando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
| Dispositivos não afetados |
|---|
| Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB |
Perguntas Mais Frequentes
Por que este comunicado foi revisado em 6 de julho de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento da atualização para resolver o problema de segurança SSL para dispositivos Zune HD. Para instalar a atualização, os clientes Zune HD têm de ligar o dispositivo a um computador e utilizar o cliente Zune PC para concluir o processo de atualização. Para obter mais informações e instruções, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
A atualização para o Microsoft Kin não está disponível no momento. A Microsoft emitirá uma atualização para este dispositivo quando o teste estiver concluído, para garantir um alto grau de qualidade para o seu lançamento.
Por que os dispositivos Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB foram removidos da tabela Softwares e dispositivos afetados?
Após uma análise cuidadosa do vetor de ataque, a Microsoft determinou que a chance de explorar esse problema nesses dispositivos Zune é extremamente baixa devido ao fato de que esses dispositivos não têm um navegador da Web. Como resultado, Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB não receberão uma atualização e foram movidos para a tabela Dispositivos Não Afetados.
Por que este comunicado foi revisado em 10 de maio de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x. A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
As atualizações para dispositivos Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste estiver concluído, para garantir um alto grau de qualidade para seu lançamento.
Por que este comunicado foi revisado em 3 de maio de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Phone 7. No momento do lançamento, a atualização não está disponível para todos os clientes do Windows Phone 7; Em vez disso, os clientes receberão uma notificação no dispositivo assim que a atualização estiver disponível para seus telefones. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar o telefone a um computador e usar o cliente Zune PC ou o Conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
As atualizações para dispositivos Windows Mobile 6.x, Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste estiver concluído, para garantir um alto grau de qualidade para seu lançamento.
Por que este comunicado foi revisado em 19 de abril de 2011?
A Microsoft revisou este comunicado para adicionar dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune ao software e dispositivos afetados. A Microsoft está ciente de que o armazenamento de certificados não confiáveis local nesses dispositivos precisa ser atualizado para incluir os nove certificados digitais fraudulentos.
As atualizações para dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste estiver concluído, para garantir um alto grau de qualidade para seu lançamento.
O que é criptografia?
Criptografia é a ciência de proteger informações convertendo-as entre seu estado normal e legível (chamado texto simples) e um em que os dados são obscurecidos (conhecido como texto cifrado).
Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado novamente em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, a criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto simples.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser partilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública juntamente com informações sobre ela - quem a possui, para que pode ser usada, quando expira e assim por diante.
Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.
O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação, e verificam a identidade de uma pessoa ou organização que solicita um certificado.
O que causou o problema?
A Comodo, uma importante autoridade de certificação, informou a Microsoft que vários certificados digitais foram emitidos sem validar suficientemente sua identidade. Esses certificados podem ser usados para falsificar a identidade dos serviços, enganando os utilizadores para que confiem neles.
Observação A Comodo revogou esses certificados e eles estão listados na Lista de Revogação de Certificados (CRL) atual da Comodo.
Para que um invasor pode usar a vulnerabilidade?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia tráfego e recebe tráfego do invasor, sempre pensando que está se comunicando apenas com o usuário pretendido.
Qual é o procedimento para revogar uma certidão?
Existe um procedimento normalizado que deve permitir à Comodo impedir que estes certificados sejam aceites se forem utilizados. Cada emissor de certificado gera periodicamente uma CRL, que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer uma parte dos dados chamada CDP (Ponto de Distribuição da CRL) que indica o local onde a CRL pode ser obtida.
Uma maneira alternativa para os navegadores da Web validarem a identidade de um certificado digital é usando o OCSP (Online Certificate Status Protocol). O OCSP permite a validação interativa de um certificado conectando-se a um respondente OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um ponteiro para o local do respondente OCSP por meio da extensão de Acesso à Informação da Autoridade (AIA) no certificado. Além disso, o grampeamento OCSP permite que o próprio servidor Web forneça uma resposta de validação OCSP ao cliente.
A validação OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação do OCSP falhar, o navegador validará o certificado entrando em contato com o local da CRL.
Para obter mais informações sobre a verificação de revogação de certificados, consulte o artigo do TechNet, Certificate Revocation and Status Checking.
O que é uma Lista de Revogação de Certificados (CRL)?
A CRL é uma lista assinada digitalmente, emitida por uma autoridade de certificação, que contém uma lista de certificados emitidos pela autoridade de certificação e posteriormente revogados pela autoridade de certificação. Para cada certificado revogado, a listagem inclui o número de série do certificado, a data em que o certificado foi revogado e o motivo da revogação. Os aplicativos podem executar a verificação de CRL para determinar o status de revogação de um certificado apresentado.
O que é CRL Distribution Point (CDP)?
CDP é uma extensão de certificado que indica onde a lista de revogação de certificados de uma autoridade de certificação pode ser recuperada. Ele pode conter nenhuma, uma ou muitas URLs HTTP, arquivo ou LDAP.
O que é o Protocolo de Status de Certificado Online (OCSP)?
O OCSP é um protocolo que permite a validação em tempo real do status de um certificado. Normalmente, um respondente OCSP responde com o status de revogação com base na CRL recuperada da autoridade de certificação.
O que a Microsoft está fazendo para ajudar a resolver esse problema?
Embora esse problema não resulte de um problema em nenhum produto da Microsoft, desenvolvemos uma atualização que ajudará a proteger os clientes, garantindo que esses nove certificados fraudulentos sejam sempre tratados como não confiáveis.
Se não houver nenhum problema no software da Microsoft, por que a Microsoft está lançando uma atualização?
Mesmo quando a validação de CRL e OCSP está habilitada, as técnicas de validação não são suficientemente robustas para garantir que os usuários estejam protegidos contra o uso mal-intencionado desses certificados. Quando o local da CRL e o respondente OCSP podem ser alcançados, as verificações de validação são altamente confiáveis e eficazes.
No entanto, quando as verificações de revogação de certificados falham devido a problemas de rede e conectividade, os navegadores e outros aplicativos cliente, incluindo o Internet Explorer, podem ignorar esses erros e considerar o certificado confiável devido à falta de prova do contrário. Nesses cenários, os clientes ainda podem ser afetados.
**O que faz a atualização? ** A atualização para versões com suporte do Microsoft Windows resolve o problema colocando os nove certificados fraudulentos no armazenamento de certificados não confiáveis local do Microsoft Windows. As atualizações para dispositivos Windows Mobile 6.x, Windows Phone 7 e Zune HD resolvem o problema colocando os nove certificados fraudulentos no armazenamento de certificados não confiáveis local no dispositivo. A atualização para o Microsoft Kin não está disponível no momento.
Como posso saber se encontrei um erro de certificado inválido?
Quando o Internet Explorer encontra um certificado inválido, os usuários recebem uma página da Web que diz: "Há um problema com o certificado de segurança deste site". Os utilizadores são encorajados a fechar a página Web e navegar para fora do site quando esta mensagem de aviso aparece.
Esta mensagem só é apresentada aos utilizadores quando o certificado é considerado inválido, por exemplo, quando o utilizador tem a validação da Lista de Certificados Revogados (CRL) ou do Protocolo de Estado de Certificado Online (OCSP) ativada. A validação OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Depois de aplicar a atualização, como posso verificar os certificados na pasta Certificados não confiáveis?
Para obter informações sobre como exibir certificados, consulte o artigo do MSDN Como exibir certificados com o snap-in do MMC.
No snap-in Certificados MMC, verifique se os seguintes certificados foram adicionados à pasta Certificados Não Confiáveis:
| Certificado | Emitido por | Número de Série |
|---|---|---|
| addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
| "Administrador Global" | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | UTN-USERFirst-Hardware | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
| login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | UTN-USERFirst-Hardware | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
| login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | UTN-USERFirst-Hardware | 3E 75 CE D4 6B 69 30 21 21 88 30 AE 86 A8 2A 71 |
| mail.google.com | UTN-USERFirst-Hardware | 04 7E CB E9 FC A5 5F 7B D0 9E AE 36 E1 0C AE 1E |
| www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
Ações Sugeridas
Instalar a atualização
Está disponível uma atualização para ajudar a resolver este problema.
Para versões suportadas do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará fazer nada porque essa atualização será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas ou usuários finais que desejam instalar essa atualização manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update .
A atualização também está disponível no Centro de Download da Microsoft; consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft para obter links para download.
Para dispositivos Windows Phone 7
No momento do lançamento, a atualização não está disponível para todos os clientes do Windows Phone 7; Em vez disso, os clientes receberão uma notificação no dispositivo assim que a atualização estiver disponível para seus telefones. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar o telefone a um computador e usar o cliente Zune PC ou o Conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações sobre a atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para atualizar o cliente Zune PC, os clientes podem configurar a atualização automática para verificar online se há atualizações do Microsoft Update usando o serviço Microsoft Update . Os clientes com a atualização automática habilitada e configurada para verificar atualizações do Microsoft Update on-line normalmente não precisarão fazer nenhuma ação para atualizar o software Zune, pois essa atualização será baixada e instalada automaticamente.
Para dispositivos Windows Mobile 6.x
A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações sobre os links de atualização e download, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para dispositivos Zune HD
A atualização está disponível através do cliente Zune PC. A atualização é aplicada quando o dispositivo Zune HD está ligado ao software Zune atualizado. Para obter mais informações sobre a atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para atualizar o cliente Zune PC, os clientes podem configurar a atualização automática para verificar online se há atualizações do Microsoft Update usando o serviço Microsoft Update . Os clientes com a atualização automática habilitada e configurada para verificar atualizações do Microsoft Update on-line normalmente não precisarão fazer nenhuma ação para atualizar o software Zune, pois essa atualização será baixada e instalada automaticamente.
Ações adicionais sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
Para obter mais informações sobre esse problema, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Proteja o seu PC
Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Manter o software Microsoft atualizado
Os utilizadores que executam software Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Microsoft Update, verifique o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos da Microsoft, as atualizações serão entregues quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras informações
Programa Microsoft Ative Protections (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros de programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (23 de março de 2011): Comunicado publicado.
- V2.0 (19 de abril de 2011): Adicionados dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune ao software e dispositivos afetados.
- V3.0 (3 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos Windows Phone 7. A atualização não está disponível para todos os clientes no momento do lançamento; consulte as Perguntas frequentes do comunicado para obter mais informações.
- V4.0 (10 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos Windows Mobile 6.x.
- V5.0 (6 de julho de 2011): Anunciou o lançamento de uma atualização para dispositivos Zune HD e moveu os dispositivos Zune para a tabela Dispositivos não afetados.
Construído em 2014-04-18T13:49:36Z-07:00