Assessoria de Segurança

Comunicado de Segurança da Microsoft 2718704

Certificados digitais não autorizados podem permitir falsificação

Publicado: terça-feira, 3 de junho de 2012 | Atualizado: June 13, 2012

Versão: 1.1

Informações Gerais

Resumo Executivo

A Microsoft está ciente de ataques ativos usando certificados digitais não autorizados derivados de uma Autoridade de Certificação da Microsoft. Um certificado não autorizado pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle. Este problema afeta todas as versões suportadas do Microsoft Windows.

A Microsoft está fornecendo uma atualização para todas as versões suportadas do Microsoft Windows. A atualização revoga a confiança dos seguintes certificados de autoridade de certificação intermediários:

  • Microsoft Enforced Licensing Intermediate PCA (2 certificados)
  • Autoridade de Registro de Licenciamento Imposto pela Microsoft CA (SHA1)

Recomendação. Para versões com suporte do Microsoft Windows, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.

Detalhes do Comunicado

Referências de Edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 2718704 

Software e dispositivos afetados

Este comunicado descreve os seguintes softwares e dispositivos afetados.

Software afetado
Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edição Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64
Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para baseado em x64
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
Opção de instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)

 

Dispositivos não afetados
Windows Móvel 6.x
Windows Phone 7
Telefone Windows 7.5

Perguntas Mais Frequentes

Por que este comunicado foi revisado em 13 de junho de 2012?
A Microsoft revisou este comunicado para notificar os clientes de que, após uma investigação mais aprofundada, a Microsoft determinou que os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5 não são afetados pelo problema.

Qual é o âmbito do aconselhamento?
O objetivo deste comunicado é notificar os clientes de que a Microsoft confirmou que dois certificados não autorizados foram emitidos pela Microsoft e estão sendo usados em ataques ativos. Durante a nossa investigação, descobriu-se que uma terceira Autoridade de Certificação emitiu certificados com cifras fracas.

A Microsoft emitiu uma atualização para todas as versões suportadas do Microsoft Windows que resolve o problema.

Esta atualização aborda outros certificados digitais não autorizados?
Sim, além de abordar os três certificados não autorizados descritos neste comunicado, esta atualização é cumulativa e aborda certificados digitais não autorizados descritos em comunicados anteriores: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712 e Microsoft Security Advisory 2641690.

O Windows 8 Consumer Preview é afetado pelo problema abordado neste comunicado?
Sim. A atualização está disponível para a versão do Windows 8 Consumer Preview. Os clientes com o Windows 8 Consumer Preview são incentivados a aplicar as atualizações aos seus sistemas. As atualizações só estão disponíveis no Windows Update.

O Windows 8 Release Preview é afetado pelo problema abordado neste comunicado?
Sim. A atualização está disponível para a versão Windows 8 Release Preview. Os clientes com o Windows 8 Release Preview são incentivados a aplicar as atualizações aos seus sistemas. As atualizações só estão disponíveis no Windows Update.

O que é criptografia?
Criptografia é a ciência de proteger informações convertendo-as entre seu estado normal e legível (chamado texto simples) e um em que os dados são obscurecidos (conhecido como texto cifrado).

Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado novamente em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, a criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto simples.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser partilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública juntamente com informações sobre ela - quem a possui, para que pode ser usada, quando expira e assim por diante.

Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.

O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação, e verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de Certificados Confiáveis (CTL)?
Deve existir uma relação de confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método para estabelecer esta confiança é através de um certificado, um documento eletrónico que verifica se as entidades ou pessoas são quem afirmam ser. Um certificado é emitido para uma entidade por um terceiro de confiança de ambas as partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente os certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Certificate Trust Verification.

O que causou o problema?
A Microsoft está ciente de ataques ativos usando certificados digitais não autorizados derivados de uma Autoridade de Certificação da Microsoft. Um certificado não autorizado pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle. Este problema afeta todas as versões suportadas do Microsoft Windows.

Para que um invasor pode usar o problema?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle.

O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia tráfego e recebe tráfego do invasor, sempre pensando que está se comunicando apenas com o usuário pretendido.

O que a Microsoft está fazendo para ajudar a resolver esse problema?
Atualizámos o Armazenamento de Certificados Não Fidedignos para remover a confiança nas autoridades de certificação Microsoft afetadas.

Depois de aplicar a atualização, como posso verificar os certificados no Microsoft Untrusted Certificates Store?
Para obter informações sobre como exibir certificados, consulte o artigo do MSDN, How to: View Certificates with the MMC Snap-in.

No snap-in Certificados MMC, verifique se os seguintes certificados foram adicionados à pasta Certificados Não Confiáveis:

Certificado Emitido por Thumbprint
PCA intermediário de licenciamento imposto pela Microsoft Autoridade raiz da Microsoft 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
PCA intermediário de licenciamento imposto pela Microsoft Autoridade raiz da Microsoft 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Autoridade de Registro de Licenciamento Imposto pela Microsoft CA (SHA1) Autoridade de certificação raiz da Microsoft fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

Ações Sugeridas

Para versões suportadas do Microsoft Windows

A maioria dos clientes tem a atualização automática habilitada e não precisará fazer nada porque a atualização KB2718704 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o artigo 294871 da Base de Dados de Conhecimento Microsoft.

Para instalações de administradores e empresas ou usuários finais que desejam instalar a atualização KB2718704 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2718704 da Base de Dados de Conhecimento Microsoft.

Ações adicionais sugeridas

  • Proteja o seu PC

    Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.

    Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.

  • Manter o software Microsoft atualizado

    Os utilizadores que executam software Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Microsoft Update, verifique o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos da Microsoft, as atualizações serão entregues quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Outras informações

Programa Microsoft Ative Protections (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis nos provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).

Comentários

Suporte

  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de Responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (3 de junho de 2012): Comunicado publicado.
  • V1.1 (13 de junho de 2012): Comunicado revisado para notificar os clientes de que os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5 não são afetados pelo problema.

Construído em 2014-04-18T13:49:36Z-07:00