Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2718704

I certificati digitali non autorizzati potrebbero consentire lo spoofing

Data di pubblicazione: domenica 3 giugno 2012 | Aggiornamento: mercoledì 13 giugno 2012

Versione: 1.1

Informazioni generali

Riepilogo

Microsoft è a conoscenza di attacchi attivi che utilizzano certificati digitali non autorizzati provenienti da un'Autorità di certificazione Microsoft. Un certificato non autorizzato potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". Questo problema interessa tutte le versioni supportate di Microsoft Windows.

Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows. L'aggiornamento revoca l'attendibilità dei seguenti certificati CA intermedi:

  • Microsoft Enforced Licensing Intermediate PCA (2 certificates)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Raccomandazione. Per le versioni supportate di Microsoft Windows, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni, consultare la sezione Soluzioni alternative di questo advisory.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2718704

Software e dispositivi interessati

Questo advisory riguarda i software e i dispositivi interessati.

Software interessato
Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi 32-bit
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)

Periferiche non interessate
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Perché questo advisory è stato rivisto il 13 giugno 2012?
Lo scopo di questo advisory è informare i clienti che Microsoft ha eseguito numerose ricerche ed è in grado di affermare che i dispositivi Windows Mobile 6. x, Windows Phone 7 e Windows Phone 7.5 non sono interessati dal problema.

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è informare i clienti che Microsoft ha accertato l'effettiva presenza di due certificati non autorizzati utilizzati in attacchi attivi. Durante le ricerche, è stata individuata una terza autorità di certificazione che ha emesso certificati con crittografia debole.

Microsoft ha emesso un aggiornamento che risolve il problema per tutte le versioni supportate di Microsoft Windows.

Questo aggiornamento risolve le vulnerabilità legate ai certificati digitali non autorizzati?
Oltre a risolvere le vulnerabilità legate ai tre certificati non autorizzati descritti in questo advisory, questo aggiornamento è cumulativo, pertanto risolve le vulnerabilità legate a tutti i certificati digitali non autorizzati descritti negli advisory precedenti: Advisory Microsoft sulla sicurezza 2524375, Advisory Microsoft sulla sicurezza 2607712 e Advisory Microsoft sulla sicurezza 2641690.

Windows 8 Consumer Preview è interessato dalla vulnerabilità risolta in questo advisory ?
Sì. L'aggiornamento è disponibile per la versione di Windows 8 Consumer Preview. Agli utenti di Windows 8 Consumer Preview si consiglia di applicare gli aggiornamenti nei sistemi in uso. Gli aggiornamenti sono disponibili solo in Windows Update.

Windows 8 Release Preview è interessato dalla vulnerabilità risolta in questo advisory ?
Sì. L'aggiornamento è disponibile per la versione di Windows 8 Release Preview. Agli utenti di Windows 8 Release Preview si consiglia di applicare gli aggiornamenti nei sistemi in uso. Gli aggiornamenti sono disponibili solo in Windows Update.

Che cos'è la crittografia?
La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.

In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una serie di dati a prova di scasso che racchiude una chiave pubblica e le relative informazioni: il proprietario, lo scopo, la scadenza e altro ancora.

Per cosa sono utilizzati i certificati?
I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.

Che cos'è un Elenco di certificati attendibili (CTL)?
È necessario che esista una relazione di trust tra il destinatario di un messaggio firmato e il mittente del messaggio. Un metodo per stabilire tale attendibilità è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano effettivamente chi affermano di essere. Un certificato viene rilasciato da un'entità terza considerata affidabile da entrambi le parti. In questo modo, ciascun destinatario di un messaggio firmato decide se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di creare applicazioni in grado di verificare automaticamente i certificati in base a un elenco predefinito di certificati e fonti affidabili. Quest'elenco di entità attendibili (chiamate soggetti) è chiamato Elenco dei certificati attendibili (CTL, Certificate Trust List ). Per ulteriori informazioni, vedere l'articolo MSDN, Certificate Trust Verification.

Cosa ha causato il problema?
Microsoft è a conoscenza di attacchi attivi che utilizzano certificati digitali non autorizzati provenienti da un'Autorità di certificazione Microsoft. Un certificato non autorizzato potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle". Questo problema interessa tutte le versioni supportate di Microsoft Windows.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Cosa fa Microsoft per risolvere questo problema?
Microsoft ha aggiornato l'archivio locale delle certificazioni non attendibili per revocare l'attendibilità delle autorità di certificazione Microsoft interessate.

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft?
Per informazioni su come visualizzare i certificati, consultare l'articolo MSDN Procedura: visualizzare certificati con lo snap-in MMC.

Nello snap-in MMC Certificati, verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Servizi certificatiRilasciato daIdentificazione digitale
Microsoft Enforced Licensing Intermediate PCAMicrosoft Root Authority2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
Microsoft Enforced Licensing Intermediate PCAMicrosoft Root Authority3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 b5 f8 dc 08
Microsoft Enforced Licensing Registration Authority CA (SHA1)Microsoft Root Certificate Authorityfa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 d7 4d ee 97

Per le versioni supportate di Microsoft Windows

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento KB2718704 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente l'aggiornamento KB2718704, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2718704.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare Microsoft Security Central.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (3 giugno 2012): Pubblicazione dell'advisory.
  • V1.1 (13 giugno 2012): Lo scopo di questo advisory è informare i clienti che i dispositivi Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5 non sono interessati da questa vulnerabilità.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft