Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2641690

I certificati digitali fraudolenti potrebbero consentire lo spoofing

Data di pubblicazione: giovedì 10 novembre 2011 | Aggiornamento: giovedì 19 gennaio 2012

Versione: 3.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza che DigiCert Sdn. BHD, un'autorità di certificazione (CA) subordinata malese sotto il controllo di Entrust e GTE CyberTrust, ha emesso 22 certificati con chiavi deboli a 512 bit. Se manipolate, tali chiavi di crittografia, potrebbero consentire a un utente malintenzionato di utilizzare i certificati in modo fraudolento per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle" a tutti gli utenti di Web browser compresi gli utenti di Internet Explorer. Pur non trattandosi di una vulnerabilità in un prodotto Microsoft, questo problema interessa tutte le versioni supportate di Microsoft Windows.

DigiCert Sdn. BHD non è affiliata di DigiCert, Inc., membro del programma Microsoft Root Certificate.

Non vi sono indicazioni che accertino l'emissione fraudolenta dei certificati. Al contrario, le chiavi con crittografia debole hanno permesso la duplicazione di alcuni certificati e il successivo utilizzo fraudolento.

Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows che revoca l'attendibilità di DigiCert Sdn. BHD. L'aggiornamento revoca l'attendibilità dei due certificati CA intermedi:

  • Digisign Server ID – (Enrich), emesso dall'autorità di certificazione Entrust.net (2048)
  • Digisign Server ID (Enrich), emesso da GTE CyberTrust Global Root

Raccomandazione. Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Problemi noti. L'articolo della Microsoft Knowledge Base 2641690 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra inoltre le soluzioni consigliate in grado di risolvere questi problemi.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2641690

Software e dispositivi interessati

Questo advisory riguarda i software e i dispositivi seguenti.

Software interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi 32-bit Service Pack 2*
Windows Server 2008 per sistemi x64 Service Pack 2*
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64 e Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64 e Windows Server 2008 R2 per sistemi x64 Service Pack 1*
Windows Server 2008 R2 per sistemi Itanium e Windows Server 2008 R2 per sistemi Itanium Service Pack 1

*L'installazione Server Core è interessata da questo aggiornamento. Questo advisory interessa le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2, come riportato, indipendentemente dal fatto che l'installazione sia stata effettuata usando l'opzione Server Core o meno. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione di un'installazione Server Core e Manutenzione di un'installazione Server Core. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.

Dispositivi interessati
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Perché questo advisory è stato rivisto il 19 gennaio 2012 ?
Microsoft ha rivisto questo advisory per comunicare il rilascio di un aggiornamento per Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2641690.

Perché questo advisory è stato rivisto il 16 novembre 2011 ?
Microsoft ha rivisto questo advisory per comunicare il nuovo rilascio dell'aggiornamento KB2641690 per Windows XP Professional x64 Edition Service Pack 2 e tutte le edizioni supportate di Windows Server 2003. Il nuovo aggiornamento risolve un problema riscontrato dagli utenti di Windows Server Update Services (WSUS) relativo all'errata rilevazione dell'applicabilità dell'aggiornamento.

Per gli utenti di Windows XP Professional x64 Edition Service Pack 2 e di tutte le edizioni supportate di Windows Server 2003, è opportuno applicare il nuovo rilascio dell'aggiornamento KB2641690 per assicurare la massima protezione rispetto all'utilizzo di certificati fraudolenti come specificato in questo advisory. Il nuovo rilascio dell'aggiornamento non interessa i clienti di Windows XP Service Pack 3 e delle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché il nuovo aggiornamento KB2641690 viene scaricato e installato automaticamente.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è informare i clienti in merito all'emissione da parte di DigiCert Sdn. BHD di 22 certificati con chiave debole a 512 bit. Tali chiavi deboli hanno permesso la compromissione di alcuni certificati. Microsoft ha revocato l'attendibilità di questa CA subordinata in un aggiornamento tramite il quale colloca i due certificati CA intermedi nell'archivio locale di certificati non attendibili di Microsoft.

Cosa ha causato il problema?
Microsoft ha ricevuto comunicazione da Entrust, una CA inserita nel programma Microsoft Root Certificate, secondo la quale una delle proprie autorità di certificazione subordinate, DigiCert Sdn. BHD, ha emesso 22 certificati con chiave debole a 512 bit. Inoltre, tale CA subordinata ha emesso certificati senza estensioni di uso o informazioni di revoca appropriate. Questa è una violazione dei requisiti del programma Microsoft Root Certificate.

Non vi sono indicazioni che accertino l'emissione fraudolenta dei certificati. Al contrario, le chiavi con crittografia debole hanno consentito la duplicazione di alcuni certificati e il successivo utilizzo fraudolento. Entrust e GTE CyberTrust hanno revocato i certificati CA intermedi emessi da DigiCert Sdn. BHD. Microsoft fornisce un aggiornamento che revoca l'attendibilità di entrambi i certificati intermedi per difendere ulteriormente gli utenti.

In che modo un utente malintenzionato potrebbe duplicare un certificato?
Una firma digitale può essere creata solo dalla persona che dispone della chiave privata del certificato. Un utente malintenzionato può tentare di indovinare tale chiave e utilizzare tecniche matematiche per stabilire se la supposizione è corretta. La difficoltà nel riuscire a indovinare la chiave privata è proporzionale al numero di bit utilizzati nella chiave. Quindi, più è lunga la chiave, più tempo occorre a un utente malintenzionato per indovinare la chiave privata. Utilizzando l'hardware moderno, è possibile indovinare le chiavi da 512 bit in un breve arco di tempo.

In che modo un utente malintenzionato potrebbe utilizzare i certificati fraudolenti ?
Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle" a tutti gli utenti di Web browser compresi gli utenti di Internet Explorer.

Cosa fa Microsoft per risolvere questo problema?
Sebbene questo problema non derivi da alcun prodotto Microsoft, abbiamo reso disponibile un aggiornamento tramite il quale due certificati intermedi rilasciati da Entrust e GTE CyberTrust vengono collocati nell'archivio locale di certificati non attendibili di Microsoft. Microsoft consiglia di applicare l'aggiornamento immediatamente.

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.

Qual è la procedura per revocare un certificato?
È disponibile una procedura standard che dovrebbe consentire a un'autorità di certificazione di evitare che questi certificati vengano accettati se utilizzati. Ogni autorità di certificazione genera periodicamente un elenco di revoche di certificati (CLR), in cui indica tutti i certificati che dovrebbero essere considerati non validi. Ogni certificato dovrebbe fornire una serie di dati denominata Punto di distribuzione CRL (CDP) che indica la posizione dove ottenere il CLR.

I Web browser possono convalidare l'identità di un certificato digitale anche utilizzando il Protocollo di stato del certificato in linea (OCSP). OCSP consente la convalida interattiva di un certificato tramite il collegamento a un risponditore OCSP, che risiede presso l'autorità di certificazione (CA) che ha firmato il certificato digitale. Ogni certificato deve fornire un puntatore al risponditore OCSP attraverso l'estensione Accesso alle informazioni dell'autorità (AIA) nel certificato. Inoltre, aggiungendo l'OCSP il server Web può fornire una risposta di convalida OCSP al client.

La convalida OCSP è attivata per impostazione predefinita su Internet Explorer 7 e versioni successive sulle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Su questi sistemi operativi, se la convalida OCSP fallisce, il browser convaliderà il certificato contattando la posizione del CLR.

Alcune distribuzioni di rete potrebbero evitare l'esecuzione di aggiornamenti OCSP o CLR online. Pertanto Microsoft ha rilasciato un aggiornamento per tutte le versioni di Microsoft Windows che aggiunge questi certificati all'archivio locale di certificati non attendibili di Microsoft. Lo spostamento di tali certificati nell'archivio locale di certificati non attendibili di Microsoft revoca l'attendibilità dei certificati fraudolenti in tutti gli scenari di distribuzione di rete.

Per ulteriori informazioni sulla verifica di revoca dei certificati, vedere l'articolo TechNet Certificate Revocation and Status Checking (in inglese).

Come è possibile sapere se si è riscontrato un errore di certificato non valido?
Quando Internet Explorer incontra un certificato non valido, gli utenti visualizzano una pagina Web che avvisa dell'esistenza di un problema con il certificato di protezione del sito Web. Agli utenti viene richiesto di chiudere la pagina Web e il sito quando viene visualizzato questo messaggio di avviso.

Gli utenti visualizzano questo messaggio solo quando il certificato non è valido, ad esempio quando l'utente ha attivato l'elenco di revoche di certificati (CLR) o il Protocollo di stato del certificato in linea (OCSP). La convalida OCSP è attivata per impostazione predefinita su Internet Explorer 7 e versioni successive sulle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft?
Per informazioni su come visualizzare i certificati, consultare l'articolo MSDN Procedura: visualizzare certificati con lo snap-in MMC.

Nello snap-in MMC Certificati, verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Servizi certificatiRilasciato daIdentificazione digitale
Digisign Server ID - (Enrich)Autorità di certificazione Entrust.net (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global Root‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Per le versioni supportate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento KB2641690 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente l'aggiornamento KB2641690, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2641690.

Per Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5

Per informazioni sull'aggiornamento per Windows Mobile 6. x, Windows Phone 7 e Windows Phone 7.5 periferiche, vedere l'articolo della Microsoft Knowledge Base 2641690.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare Microsoft Security Central.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 novembre 2011): Pubblicazione dell'advisory.
  • V2.0 (16 novembre 2011): Il bollettino è stato rivisto per comunicare il nuovo rilascio dell'aggiornamento KB2641690. Per ulteriori informazioni, vedere le Domande frequenti sull'aggiornamento in questo advisory. Inoltre, è stato aggiunto un collegamento all'articolo della Microsoft Knowledge Base 2641690 nella sottosezione Problemi noti del Riepilogo.
  • V3.0 (19 gennaio 2012): Il bollettino è stato rivisto per comunicare il rilascio di un aggiornamento per Windows Mobile 6. x, Windows Phone 7 e Windows Phone 7.5.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft