Avviso di sicurezza
Microsoft Security Advisory 2728973
I certificati digitali non autorizzati potrebbero consentire lo spoofing
Pubblicato: 10 luglio 2012 | Aggiornamento: 5 settembre 2012
Versione: 1.2
Informazioni generali
Schema riepilogativo
Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Dopo una revisione di routine, questi certificati vengono inseriti nell'archivio certificati non attendibili e sostituiti con nuove autorità di certificazione che soddisfano il livello elevato di gestione dell'infrastruttura a chiave pubblica (PKI). Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.
Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows. L'aggiornamento inserisce i certificati CA intermedi seguenti nell'archivio certificati non attendibile:
- Microsoft Genuine Windows Telefono PUBLIC Preview CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 certificati)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 certificati)
- Microsoft Online Svcs CA3 (2 certificati)
- Microsoft Online Svcs CA4 (2 certificati)
- Microsoft Online Svcs CA5 (2 certificati)
- Microsoft Online Svcs CA6
Elemento consigliato. Per le versioni supportate di Microsoft Windows, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Problemi noti.L'articolo della Microsoft Knowledge Base 2728973 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
Riferimenti | Identificazione |
---|---|
Articolo della Microsoft Knowledge Base | 2728973 |
Software e dispositivi interessati
Questo avviso illustra i seguenti dispositivi e software interessati.
Software interessato |
---|
Sistema operativo |
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 con SP2 per sistemi basati su Itanium |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
Windows 7 per sistemi a 32 bit |
Windows 7 per sistemi a 32 bit Service Pack 1 |
Windows 7 per sistemi basati su x64 |
Windows 7 per sistemi basati su x64 Service Pack 1 |
Windows Server 2008 R2 per x64 |
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
Windows Server 2008 R2 per sistemi basati su Itanium |
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
Opzione di installazione dei componenti di base del server |
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) |
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) |
Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core) |
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) |
Dispositivi non interessati |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
Domande frequenti
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Dopo una revisione e un'abbondanza di cautela, questi certificati vengono inseriti nell'archivio certificati non attendibili e sostituendoli con nuove autorità di certificazione che soddisfano lo standard elevato di gestione dell'infrastruttura a chiave pubblica (PKI). Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.
Microsoft ha rilasciato un aggiornamento per tutte le versioni supportate di Microsoft Windows che risolve il problema.
Questo aggiornamento risolve eventuali altri certificati digitali non autorizzati?
Sì, oltre ad affrontare i certificati non autorizzati descritti in questo avviso, questo aggiornamento è cumulativo e risolve i certificati digitali non autorizzati descritti negli avvisi precedenti: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712, Microsoft Security Advisory 2641690 e Microsoft Security Advisory 2718704.
Si noti che, sebbene questo aggiornamento indirizzi i certificati descritti negli avvisi precedenti, questo aggiornamento non contiene tutte le funzionalità introdotte negli avvisi precedenti. Per altre informazioni, vedere Problemi noti nell'articolo della Microsoft Knowledge Base 2728973.
Windows 8 Release Preview o Windows Server 2012 Release Candidate è interessato dal problema risolto in questo avviso?
Sì. L'aggiornamento è disponibile per Windows 8 Release Preview e Windows Server 2012 Release Candidate. I clienti con Windows 8 Release Preview e Windows Server 2012 Release Candidate sono invitati ad applicare gli aggiornamenti ai sistemi. Per informazioni su come applicare l'aggiornamento per Windows 8 Release Preview e Windows Server 2012 Release Preview, vedere la sezione Azioni suggerite di questo avviso.
Che cos'è la crittografia?
La crittografia è la scienza della protezione delle informazioni convertendola tra il normale stato leggibile (chiamato testo non crittografato) e quello in cui i dati vengono nascosti (noti come testo crittografato).
In tutte le forme di crittografia, viene usato un valore noto come chiave insieme a una procedura denominata algoritmo di crittografia per trasformare i dati di testo non crittografato in testo crittografato. Nel tipo più familiare di crittografia, crittografia a chiave privata, il testo crittografato viene trasformato in testo non crittografato usando la stessa chiave. Tuttavia, in un secondo tipo di crittografia, la crittografia a chiave pubblica viene usata una chiave diversa per trasformare il testo crittografato in testo non crittografato.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è un pezzo di dati antimanomissione che raggruppa una chiave pubblica insieme a informazioni su di esso, chi lo possiede, per cosa può essere usato, quando scade e così via.
Quali sono i certificati usati per?
I certificati vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.
Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Che cos'è un elenco di certificati attendibili (CTL)? Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.
Cosa ha causato il problema?
Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti.
Cosa può essere usato da un utente malintenzionato per eseguire il problema?
Un utente malintenzionato potrebbe usare questi certificati per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cosa sta facendo Microsoft per risolvere questo problema?
Le autorità di certificazione Microsoft interessate sono state inserite nell'archivio certificati non attendibili e sostituite con nuove autorità di certificazione che soddisfano lo standard elevato di gestione dell'infrastruttura a chiave pubblica (PKI).
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?
Per i sistemi che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), tra cui Windows 8 Release Preview e Windows Server 2012 Release Candidate, è possibile controllare il log applicazioni nel Visualizzatore eventi per una voce con i valori seguenti:
- Origine: CAPI2
- Livello: Informazioni
- ID evento: 4112
- Descrizione: aggiornamento automatico dell'elenco di certificati non consentiti con data di validità: giovedì 21 giugno 2012 (o versione successiva).
Per i sistemi che non usano l'aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:
Certificate | Rilasciato da | Identificazione personale |
---|---|---|
Microsoft Genuine Windows Telefono PUBLIC Preview CA01 | Microsoft Windows Telefono PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
Microsoft IPTVe CA | Microsoft Home Entertainment PCA | be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf |
Microsoft Online CA001 | PCA dei servizi Microsoft | a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02 |
Microsoft Online Svcs BPOS APAC CA1 | PCA dei servizi Microsoft | d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77 |
Microsoft Online Svcs BPOS APAC CA2 | PCA dei servizi Microsoft | d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b |
Microsoft Online Svcs BPOS APAC CA3 | PCA dei servizi Microsoft | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
CN=Microsoft Online Svcs BPOS APAC CA4 | PCA dei servizi Microsoft | 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83 |
Microsoft Online Svcs BPOS APAC CA5 | PCA dei servizi Microsoft | d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e |
Microsoft Online Svcs BPOS APAC CA6 | PCA dei servizi Microsoft | 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02 |
Microsoft Online Svcs BPOS CA1 | PCA dei servizi Microsoft | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b |
Microsoft Online Svcs BPOS CA2 | PCA dei servizi Microsoft | 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92 |
Microsoft Online Svcs BPOS CA2 | PCA dei servizi Microsoft | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
Microsoft Online Svcs BPOS CA2 | PCA dei servizi Microsoft | f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a |
Microsoft Online Svcs BPOS EMEA CA1 | PCA dei servizi Microsoft | a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd |
Microsoft Online Svcs BPOS EMEA CA2 | PCA dei servizi Microsoft | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
Microsoft Online Svcs BPOS EMEA CA3 | PCA dei servizi Microsoft | a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6 |
Microsoft Online Svcs BPOS EMEA CA4 | PCA dei servizi Microsoft | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
Microsoft Online Svcs BPOS EMEA CA5 | PCA dei servizi Microsoft | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
Microsoft Online Svcs BPOS EMEA CA6 | PCA dei servizi Microsoft | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
Microsoft Online Svcs CA1 | PCA dei servizi Microsoft | 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e |
Microsoft Online Svcs CA1 | PCA dei servizi Microsoft | a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66 |
Microsoft Online Svcs CA3 | PCA dei servizi Microsoft | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
Microsoft Online Svcs CA3 | PCA dei servizi Microsoft | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce |
Microsoft Online Svcs CA4 | PCA dei servizi Microsoft | 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f |
Microsoft Online Svcs CA4 | PCA dei servizi Microsoft | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
Microsoft Online Svcs CA5 | PCA dei servizi Microsoft | a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5 |
Microsoft Online Svcs CA5 | PCA dei servizi Microsoft | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
Microsoft Online Svcs CA6 | PCA dei servizi Microsoft | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).
Azioni suggerite
Per le edizioni supportate di Windows XP e Windows Server 2003
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento KB2728973 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento KB2728973, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2728973.
Per le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché un aggiornamento automatico dei certificati revocati risolverà il problema aggiungendo automaticamente i certificati all'archivio certificati non attendibile.
L'aggiornamento automatico dei certificati revocati è disponibile per Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 tramite il servizio Microsoft Update ed è descritto nell'articolo della Microsoft Knowledge Base 2677070. L'aggiornamento automatico dei certificati non attendibili è incluso in Windows 8 Release Preview e Windows Server 2012 Release Candidate.
Per gli utenti finali che non dispongono dell'aggiornamento automatico dei certificati revocati (2677070) o per i sistemi non connessi a Internet, Microsoft consiglia ai clienti di applicare manualmente l'aggiornamento KB2728973 immediatamente. Per altre informazioni su come applicare manualmente l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2728973.
Per gli amministratori e le installazioni aziendali, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti. Per altre informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2728973.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.
Per altre informazioni su come rimanere al sicuro su Internet, visitare Microsoft Security Central.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 luglio 2012): Avviso pubblicato.
- V1.1 (11 luglio 2012): correzione della data di validità dell'elenco di certificati non consentiti in "Giovedì 21 giugno 2012 (o versione successiva)" nella voce delle domande frequenti": "Dopo l'applicazione dell'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?"
- V1.2 (5 settembre 2012): correzione del nome comune per il certificato "CN=Microsoft Online Svcs BPOS APAC CA4" rilasciato dal PCA dei Servizi Microsoft.
Costruito al 2014-04-18T13:49:36Z-07:00