Avviso di sicurezza

Microsoft Security Advisory 2728973

I certificati digitali non autorizzati potrebbero consentire lo spoofing

Pubblicato: 10 luglio 2012 | Aggiornamento: 5 settembre 2012

Versione: 1.2

Informazioni generali

Schema riepilogativo

Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Dopo una revisione di routine, questi certificati vengono inseriti nell'archivio certificati non attendibili e sostituiti con nuove autorità di certificazione che soddisfano il livello elevato di gestione dell'infrastruttura a chiave pubblica (PKI). Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.

Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows. L'aggiornamento inserisce i certificati CA intermedi seguenti nell'archivio certificati non attendibile:

  • Microsoft Genuine Windows Telefono PUBLIC Preview CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • CN=Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (2 certificati)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (2 certificati)
  • Microsoft Online Svcs CA3 (2 certificati)
  • Microsoft Online Svcs CA4 (2 certificati)
  • Microsoft Online Svcs CA5 (2 certificati)
  • Microsoft Online Svcs CA6

Elemento consigliato. Per le versioni supportate di Microsoft Windows, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.

Problemi noti.L'articolo della Microsoft Knowledge Base 2728973 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 2728973 

Software e dispositivi interessati

Questo avviso illustra i seguenti dispositivi e software interessati.

Software interessato
Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi basati su Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi basati su x64 Service Pack 2
Windows Server 2008 per sistemi basati su Itanium Service Pack 2
Windows 7 per sistemi a 32 bit
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi basati su x64
Windows 7 per sistemi basati su x64 Service Pack 1
Windows Server 2008 R2 per x64
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
Windows Server 2008 R2 per sistemi basati su Itanium
Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1
Opzione di installazione dei componenti di base del server
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core)
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core)
Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core)
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core)

 

Dispositivi non interessati
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Domande frequenti

Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Dopo una revisione e un'abbondanza di cautela, questi certificati vengono inseriti nell'archivio certificati non attendibili e sostituendoli con nuove autorità di certificazione che soddisfano lo standard elevato di gestione dell'infrastruttura a chiave pubblica (PKI). Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.

Microsoft ha rilasciato un aggiornamento per tutte le versioni supportate di Microsoft Windows che risolve il problema.

Questo aggiornamento risolve eventuali altri certificati digitali non autorizzati?
Sì, oltre ad affrontare i certificati non autorizzati descritti in questo avviso, questo aggiornamento è cumulativo e risolve i certificati digitali non autorizzati descritti negli avvisi precedenti: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712, Microsoft Security Advisory 2641690 e Microsoft Security Advisory 2718704.

Si noti che, sebbene questo aggiornamento indirizzi i certificati descritti negli avvisi precedenti, questo aggiornamento non contiene tutte le funzionalità introdotte negli avvisi precedenti. Per altre informazioni, vedere Problemi noti nell'articolo della Microsoft Knowledge Base 2728973.

Windows 8 Release Preview o Windows Server 2012 Release Candidate è interessato dal problema risolto in questo avviso?
Sì. L'aggiornamento è disponibile per Windows 8 Release Preview e Windows Server 2012 Release Candidate. I clienti con Windows 8 Release Preview e Windows Server 2012 Release Candidate sono invitati ad applicare gli aggiornamenti ai sistemi. Per informazioni su come applicare l'aggiornamento per Windows 8 Release Preview e Windows Server 2012 Release Preview, vedere la sezione Azioni suggerite di questo avviso.

Che cos'è la crittografia?
La crittografia è la scienza della protezione delle informazioni convertendola tra il normale stato leggibile (chiamato testo non crittografato) e quello in cui i dati vengono nascosti (noti come testo crittografato).

In tutte le forme di crittografia, viene usato un valore noto come chiave insieme a una procedura denominata algoritmo di crittografia per trasformare i dati di testo non crittografato in testo crittografato. Nel tipo più familiare di crittografia, crittografia a chiave privata, il testo crittografato viene trasformato in testo non crittografato usando la stessa chiave. Tuttavia, in un secondo tipo di crittografia, la crittografia a chiave pubblica viene usata una chiave diversa per trasformare il testo crittografato in testo non crittografato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è un pezzo di dati antimanomissione che raggruppa una chiave pubblica insieme a informazioni su di esso, chi lo possiede, per cosa può essere usato, quando scade e così via.

Quali sono i certificati usati per?
I certificati vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.

Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.

Che cos'è un elenco di certificati attendibili (CTL)? Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.

Cosa ha causato il problema?
Microsoft è a conoscenza delle autorità di certificazione Microsoft che non rientrano nelle procedure consigliate per l'archiviazione sicura. Microsoft non è a conoscenza di un uso improprio delle autorità di certificazione, ma sta eseguendo un'azione preventiva per proteggere i clienti.

Cosa può essere usato da un utente malintenzionato per eseguire il problema?
Un utente malintenzionato potrebbe usare questi certificati per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle.

Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.

Che cosa sta facendo Microsoft per risolvere questo problema?
Le autorità di certificazione Microsoft interessate sono state inserite nell'archivio certificati non attendibili e sostituite con nuove autorità di certificazione che soddisfano lo standard elevato di gestione dell'infrastruttura a chiave pubblica (PKI).

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?
Per i sistemi che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), tra cui Windows 8 Release Preview e Windows Server 2012 Release Candidate, è possibile controllare il log applicazioni nel Visualizzatore eventi per una voce con i valori seguenti:

  • Origine: CAPI2
  • Livello: Informazioni
  • ID evento: 4112
  • Descrizione: aggiornamento automatico dell'elenco di certificati non consentiti con data di validità: giovedì 21 giugno 2012 (o versione successiva).

Per i sistemi che non usano l'aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Certificate Rilasciato da Identificazione personale
Microsoft Genuine Windows Telefono PUBLIC Preview CA01 Microsoft Windows Telefono PCA e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38
Microsoft IPTVe CA Microsoft Home Entertainment PCA be d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf
Microsoft Online CA001 PCA dei servizi Microsoft a1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02
Microsoft Online Svcs BPOS APAC CA1 PCA dei servizi Microsoft d4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77
Microsoft Online Svcs BPOS APAC CA2 PCA dei servizi Microsoft d8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b
Microsoft Online Svcs BPOS APAC CA3 PCA dei servizi Microsoft e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9
CN=Microsoft Online Svcs BPOS APAC CA4 PCA dei servizi Microsoft 3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83
Microsoft Online Svcs BPOS APAC CA5 PCA dei servizi Microsoft d0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e
Microsoft Online Svcs BPOS APAC CA6 PCA dei servizi Microsoft 08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02
Microsoft Online Svcs BPOS CA1 PCA dei servizi Microsoft 76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b
Microsoft Online Svcs BPOS CA2 PCA dei servizi Microsoft 58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92
Microsoft Online Svcs BPOS CA2 PCA dei servizi Microsoft 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f
Microsoft Online Svcs BPOS CA2 PCA dei servizi Microsoft f5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a
Microsoft Online Svcs BPOS EMEA CA1 PCA dei servizi Microsoft a3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd
Microsoft Online Svcs BPOS EMEA CA2 PCA dei servizi Microsoft e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d
Microsoft Online Svcs BPOS EMEA CA3 PCA dei servizi Microsoft a7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6
Microsoft Online Svcs BPOS EMEA CA4 PCA dei servizi Microsoft 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f
Microsoft Online Svcs BPOS EMEA CA5 PCA dei servizi Microsoft 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17
Microsoft Online Svcs BPOS EMEA CA6 PCA dei servizi Microsoft 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73
Microsoft Online Svcs CA1 PCA dei servizi Microsoft 23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e
Microsoft Online Svcs CA1 PCA dei servizi Microsoft a2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66
Microsoft Online Svcs CA3 PCA dei servizi Microsoft 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6
Microsoft Online Svcs CA3 PCA dei servizi Microsoft 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce
Microsoft Online Svcs CA4 PCA dei servizi Microsoft 66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f
Microsoft Online Svcs CA4 PCA dei servizi Microsoft 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86
Microsoft Online Svcs CA5 PCA dei servizi Microsoft a8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5
Microsoft Online Svcs CA5 PCA dei servizi Microsoft 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b
Microsoft Online Svcs CA6 PCA dei servizi Microsoft 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e

Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).

Azioni suggerite

Per le edizioni supportate di Windows XP e Windows Server 2003

La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento KB2728973 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento KB2728973, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2728973.

Per le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview

La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché un aggiornamento automatico dei certificati revocati risolverà il problema aggiungendo automaticamente i certificati all'archivio certificati non attendibile.

L'aggiornamento automatico dei certificati revocati è disponibile per Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 tramite il servizio Microsoft Update ed è descritto nell'articolo della Microsoft Knowledge Base 2677070. L'aggiornamento automatico dei certificati non attendibili è incluso in Windows 8 Release Preview e Windows Server 2012 Release Candidate.

Per gli utenti finali che non dispongono dell'aggiornamento automatico dei certificati revocati (2677070) o per i sistemi non connessi a Internet, Microsoft consiglia ai clienti di applicare manualmente l'aggiornamento KB2728973 immediatamente. Per altre informazioni su come applicare manualmente l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2728973.

Per gli amministratori e le installazioni aziendali, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti. Per altre informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2728973.

Azioni aggiuntive suggerite

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.

    Per altre informazioni su come rimanere al sicuro su Internet, visitare Microsoft Security Central.

  • Mantenere aggiornato il software Microsoft

    Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (10 luglio 2012): Avviso pubblicato.
  • V1.1 (11 luglio 2012): correzione della data di validità dell'elenco di certificati non consentiti in "Giovedì 21 giugno 2012 (o versione successiva)" nella voce delle domande frequenti": "Dopo l'applicazione dell'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?"
  • V1.2 (5 settembre 2012): correzione del nome comune per il certificato "CN=Microsoft Online Svcs BPOS APAC CA4" rilasciato dal PCA dei Servizi Microsoft.

Costruito al 2014-04-18T13:49:36Z-07:00