Aviso de Segurança da Microsoft (2718704)
Certificados Digitais Não Autorizados Poderiam Permitir Falsificação (Spoofing)
Data de publicação: | Updated:
actualizada: 1.1
Informações Gerais
Resumo Executivo
A Microsoft tem conhecimento de ataques activos utilizando certificados digitais não autorizados derivados de uma Autoridade de Certificação da Microsoft. Um certificado não autorizado poderia ser utilizado para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle. Esta questão afecta todas as edições suportadas do Microsoft Windows.
A Microsoft está a fornecer uma actualização para todas as edições suportadas do Microsoft Windows. A actualização revoga a confiança dos seguintes certificados intermédios de CA:
- Microsoft Enforced Licensing Intermediate PCA (2 certificados)
- Microsoft Enforced Licensing Registration Authority CA (SHA1)
Recomendação. Para as edições suportadas do Microsoft Windows, a Microsoft recomenda que os clientes apliquem imediatamente a actualização de segurança, utilizando software de gestão de actualizações ou verificando as actualizações através do serviço Microsoft Update. Para obter mais informações, consulte a secção Acções Sugeridas deste aviso.
Detalhes do Aviso
Referências da Questão
Para mais informações sobre esta questão, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento da Microsoft | 2718704 |
Software e Dispositivos Afectados
Este aviso abrange o seguinte software e dispositivos afectados.
| Software Afectado |
|---|
| Sistema Operativo |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Opção de instalação Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) |
| Dispositivos Não Afectados |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Perguntas Mais Frequentes
Porque é que este aviso foi revisto a 13 de Junho de 2012?
A Microsoft reviu este aviso para notificar os clientes de que, após um estudo rigoroso, a Microsoft determinou que os dispositivos com o Windows Mobile 6. x, o Windows Phone 7 e o Windows Phone 7.5 não são afectados por este problema.
Qual é a abrangência deste aviso?
O objectivo deste aviso é notificar os clientes de que a Microsoft confirmou que foram emitidos dois certificados não autorizados pela Microsoft que estão a ser utilizados em ataques activos. Durante a nossa investigação detectou-se que uma terceira Autoridade de Certificação emitiu certificados com cifras mais fracas.
A Microsoft lançou uma actualização para todas as edições suportadas do Microsoft Windows que resolve esta questão.
Esta actualização trata qualquer outro certificado digital não autorizado?
Sim, para além de tratar os três certificados não autorizados descritos neste aviso, esta actualização é cumulativa e trata certificados digitais não autorizados descritos em avisos anteriores: Aviso de Segurança da Microsoft 2524375, Aviso de Segurança da Microsoft 2607712 e Aviso de Segurança da Microsoft 2641690.
O Windows 8 Consumer Preview é afectado pela questão descrita neste aviso?
Sim. A actualização está disponível para o Windows 8 Consumer Preview. Aconselha-se os clientes com o Windows 8 Consumer Preview a aplicarem as actualizações nos seus sistemas. As actualizações apenas estão disponíveis no Windows Update.
O Windows 8 Release Preview é afectado pela questão descrita neste aviso?
Sim. A actualização está disponível para o Windows 8 Release Preview. Aconselha-se os clientes com o Windows 8 Release Preview a aplicarem as actualizações nos seus sistemas. As actualizações apenas estão disponíveis no Windows Update.
O que é criptografia?
A criptografia é uma ciência para manter as informações em segurança através da respectiva conversão entre o seu estado legível normal (chamado texto não encriptado) e um estado em que os dados são obscurecidos (conhecido como ficheiro de encriptação).
Em todas as formas de criptografia, um valor conhecido como chave é utilizado em conjunto com um procedimento designado de algoritmo criptográfico para transformar dados de texto não encriptado em ficheiros de encriptação. No tipo de criptografia mais comum, a criptografia de chave secreta, o ficheiro de encriptação é transformado novamente em texto não encriptado utilizando a mesma chave. No entanto, num segundo tipo de criptografia, a criptografia de chave pública, é utilizada uma chave diferente para transformar o ficheiro de encriptação novamente em texto não encriptado.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida como secreta. A outra chave, conhecida como chave pública, destina-se a ser partilhada com o mundo. No entanto, deve haver uma forma de o proprietário da chave divulgar ao mundo a quem pertence a chave. Os certificados digitais proporcionam uma forma de o fazer. Um certificado digital é um conjunto de dados inviolável que reúne uma chave pública com informações acerca da mesma - quem é o proprietário, para que pode utilizar-se, quando expira, etc.
Para que são utilizados os certificados?
Os certificados são utilizados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou encriptar ficheiros. Normalmente, nem é preciso pensar nos certificados. Pode, no entanto, ver uma mensagem que indica que um determinado certificado expirou ou é inválido. Nesses casos, deve seguir as instruções na mensagem.
O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que emitem os certificados. Estabelecem e verificam a autenticidade das chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que pede um certificado.
O que é uma Lista Fidedigna de Certificados (CTL)?
É necessário que exista confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um dos métodos utilizados para estabelecer esta confiança é através de um certificado, um documento electrónico que verifica se as entidades ou pessoas são quem afirmam ser. Os certificados são emitidos por uma entidade terceira que é considerada fidedigna pelas outras duas partes. Assim, cada destinatário de uma mensagem assinada poderá determinar se o emissor do certificado do signatário é fidedigno. O CryptoAPI implementou uma metodologia que permite que os programadores de aplicações criem aplicações que verificam automaticamente os certificados em relação a uma lista predefinida de certificados ou raízes fidedignas. A esta lista de entidades fidedignas (conhecidas como sujeitos) chama-se lista fidedigna de certificados (CTL). Para mais informações, consulte o artigo MSDN sobre a Lista Fidedigna de Certificados.
O que provocou a questão?
A Microsoft tem conhecimento de ataques activos utilizando certificados digitais não autorizados derivados de uma Autoridade de Certificação da Microsoft. Um certificado não autorizado poderia ser utilizado para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle. Esta questão afecta todas as edições suportadas do Microsoft Windows.
Como poderia um intruso utilizar esta questão ?
Um intruso poderia utilizar estes certificados para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um intruso redirecciona a comunicação entre dois utilizadores para passar pelo computador do intruso sem o conhecimento dos dois utilizadores que comunicam entre si. Cada utilizador envolvido na comunicação envia e recebe, inadvertidamente, tráfego do intruso, acreditando sempre estar a comunicar apenas com o utilizador pretendido.
O que está a Microsoft a fazer para ajudar a resolver esta questão?
Actualizámos o Arquivo de Certificados Não Fidedignos para retirar a confiança às autoridades com certificação Microsoft afectadas.
Depois de aplicar a actualização, como posso verificar os certificados no Arquivo de Certificados Não Fidedignos da Microsoft?
Para informações sobre a visualização de certificados, consulte o artigo MSDN sobre Como: Ver Certificados com o Snap-in MMC.
No Snap-in MMC de Certificados, verifique se os seguintes certificados foram adicionados à pasta de Certificados Não Fidedignos:
| Certificado | Emitido por | Thumbprint |
|---|---|---|
| Microsoft Enforced Licensing Intermediate PCA | Autoridade Raiz da Microsoft | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
| Microsoft Enforced Licensing Intermediate PCA | Autoridade Raiz da Microsoft | 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08 |
| Microsoft Enforced Licensing Registration Authority CA (SHA1) | Autoridade de Certificação Raiz da Microsoft | fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97 |
Acções Sugeridas
Para edições suportadas do Microsoft Windows
A maioria dos clientes tem a actualização automática activada e não necessitará de efectuar qualquer acção, porque a actualização KB2718704 será transferida e instalada automaticamente. Os clientes que não tenham a actualização automática activada necessitam de verificar as actualizações e instalar esta actualização manualmente. Para obter informações sobre opções específicas de configuração da actualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento da Microsoft.
Para administradores e instalações empresariais ou utilizadores finais que pretendam instalar manualmente a actualização KB2718704, a Microsoft recomenda que os clientes apliquem imediatamente a actualização, utilizando software de gestão de actualizações ou verificando as actualizações através do serviço Microsoft Update. Para obter mais informações sobre como aplicar a actualização manualmente, consulte o Artigo 2718704 da Base de Dados de Conhecimento da Microsoft.
Outras Acções Sugeridas
- Proteja o seu PC
Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o seu PC.
Para obter mais informações sobre como estar seguro na Internet, visite o Centro de Segurança da Microsoft.
- Mantenha o Software Microsoft Actualizado
Os utilizadores de software Microsoft devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Microsoft Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as actualizações automáticas activadas e configuradas para fornecer actualizações para produtos da Microsoft, as actualizações são-lhe fornecidas quando são lançadas, mas deve verificar se estas são instaladas.
Outras informações
Microsoft Active Protections Program (MAPP)
Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de Microsoft Active Protections Program (MAPP) Partners.
Feedback
- Pode fornecer feedback, preenchendo o formulário no site de Ajuda e Suporte da Microsoft, no espaço de contacto de apoio ao cliente.
Assistência
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de garantia
As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.
Revisões
- V1.0 (3 de Junho de 2012): Aviso publicado.
- V1.1 (13 de Junho de 2012): Aviso revisto para notificar os clientes de que os dispositivos com o Windows Mobile 6. x, o Windows Phone 7 e o Windows Phone 7.5 não são afectados por este problema.