Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2728973

I certificati digitali non autorizzati potrebbero consentire lo spoofing

Data di pubblicazione: martedì 10 luglio 2012 | Aggiornamento: mercoledì 5 settembre 2012

Versione: 1.2

Informazioni generali

Riepilogo

Microsoft è a conoscenza di autorità di certificazione Microsoft che non rientrano nelle procedure di archiviazione sicura consigliate. Durante una revisione di routine, si è deciso di collocare questi certificati nell'archivio locale dei certificati non attendibili e sostituirli con le nuove autorità di certificazione conformi agli elevati standard Microsoft di gestione PKI (Public-Key Infrastructure). Microsoft non è a conoscenza di alcun uso improprio delle autorità di certificazione, tuttavia sta prendendo misure preventive per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.

Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows. L'aggiornamento colloca i seguenti certificati CA intermedi nell'archivio locale dei certificati non attendibili:

  • Microsoft Genuine Windows Phone Public Preview CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • CN=Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (2 certificati)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (2 certificati)
  • Microsoft Online Svcs CA3 (2 certificati)
  • Microsoft Online Svcs CA4 (2 certificati)
  • Microsoft Online Svcs CA5 (2 certificati)
  • Microsoft Online Svcs CA6

Raccomandazione. Per le versioni supportate di Microsoft Windows, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento. Per ulteriori informazioni, consultare la sezione Soluzioni alternative di questo advisory.

Problemi noti. L'articolo della Microsoft Knowledge Base 2728973 descrive i problemi attualmente conosciuti che gli utenti potrebbero riscontrare durante l'installazione di questo aggiornamento.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2728973

Software e dispositivi interessati

Questo advisory riguarda i software e i dispositivi interessati.

Software interessato
Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi 32-bit
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)

Periferiche non interessate
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è notificare i clienti che Microsoft è a conoscenza di autorità di certificazione Microsoft che non rientrano nelle procedure di archiviazione sicura consigliate. Durante una revisione di routine, per garantire l'assoluta sicurezza si è deciso di collocare questi certificati nell'archivio locale dei certificati non attendibili e sostituirli con le nuove autorità di certificazione conformi agli elevati standard Microsoft di gestione PKI (Public-Key Infrastructure). Microsoft non è a conoscenza di alcun uso improprio delle autorità di certificazione, tuttavia sta prendendo misure preventive per proteggere i clienti. Questo problema interessa tutte le versioni supportate di Microsoft Windows.

Microsoft ha emesso un aggiornamento che risolve il problema per tutte le versioni supportate di Microsoft Windows.

Questo aggiornamento risolve le vulnerabilità legate ai certificati digitali non autorizzati?
Oltre a risolvere le vulnerabilità legate ai ventotto certificati non autorizzati descritti in questo advisory, questo aggiornamento è cumulativo, pertanto risolve le vulnerabilità legate a tutti i certificati digitali non autorizzati descritti negli advisory precedenti: Advisory Microsoft sulla sicurezza 2524375, Advisory Microsoft sulla sicurezza 2607712, Advisory Microsoft sulla sicurezza 2641690 e Advisory Microsoft sulla sicurezza 2718704.

Tenere presente che sebbene questo aggiornamento riguardi i certificati descritti negli advisory precedenti, non contiene tutte le funzionalità introdotte negli advisory precedenti. Per ulteriori informazioni, vedere la sezione Problemi noti nell'articolo della Microsoft Knowledge Base 2728973.

Le versioni Windows 8 Release Preview o Windows Server 2012 Release Candidate sono interessate dal problema descritto in questo advisory ?
Sì. L'aggiornamento è disponibile per Windows 8 Release Preview e Windows Server 2012 Release Candidate. I clienti che hanno Windows 8 Release Preview e Windows Server 2012 Release Candidate installati sono incoraggiati ad applicare gli aggiornamenti ai propri sistemi. Per informazioni su come applicare l'aggiornamento per Windows 8 Release Preview e Windows Server 2012 Release Preview, vedere la sezione Soluzioni alternative di questo advisory.

Che cos'è la crittografia?
La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.

In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una serie di dati a prova di scasso che racchiude una chiave pubblica e le relative informazioni: il proprietario, lo scopo, la scadenza e altro ancora.

Per cosa sono utilizzati i certificati?
I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.

Che cos'è un Elenco di certificati attendibili (CTL)?
È necessario che esista una relazione di trust tra il destinatario di un messaggio firmato e il mittente del messaggio. Un metodo per stabilire tale attendibilità è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano effettivamente chi affermano di essere. Un certificato viene rilasciato da un'entità terza considerata affidabile da entrambi le parti. In questo modo, ciascun destinatario di un messaggio firmato decide se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di creare applicazioni in grado di verificare automaticamente i certificati in base a un elenco predefinito di certificati e fonti affidabili. Quest'elenco di entità attendibili (chiamate soggetti) è chiamato Elenco dei certificati attendibili (CTL, Certificate Trust List ). Per ulteriori informazioni, vedere l'articolo MSDN, Certificate Trust Verification.

Cosa ha causato il problema?
Microsoft è a conoscenza di autorità di certificazione Microsoft che non rientrano nelle procedure di archiviazione sicura consigliate. Microsoft non è a conoscenza di alcun uso improprio delle autorità di certificazione, tuttavia sta prendendo misure preventive per proteggere i clienti.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle".

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Cosa fa Microsoft per risolvere questo problema?
Le autorità di certificazione Microsoft interessate sono state collocate nell'archivio locale dei certificati non attendibili e sono state sostituite con le nuove autorità di certificazione conformi agli elevati standard Microsoft di gestione PKI (Public-Key Infrastructure).

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft?
Per i sistemi che utilizzano lo strumento di aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per ulteriori informazioni), compresi Windows 8 Release Preview e Windows Server 2012 Release Candidate, è possibile controllare se nel Registro applicazioni nel Visualizzatore eventi è presente una voce con i valori seguenti:

  • Origine: CAPI2
  • Livello: Informazioni
  • ID evento: 4112
  • Descrizione: Aggiornamento automatico dell'elenco dei certificati non consentiti effettuato correttamente in data: giovedì 21 giugno 2012 (o successivamente).

Per i sistemi che non utilizzano lo strumento di aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Servizi certificatiRilasciato daIdentificazione digitale
Microsoft Genuine Windows Phone Public Preview CA01 Microsoft Windows Phone PCAe3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38
Microsoft IPTVe CAMicrosoft Home Entertainment PCAbe d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf
Microsoft Online CA001Microsoft Services PCAa1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02
Microsoft Online Svcs BPOS APAC CA1Microsoft Services PCAd4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77
Microsoft Online Svcs BPOS APAC CA2Microsoft Services PCAd8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b
Microsoft Online Svcs BPOS APAC CA3Microsoft Services PCAe9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9
CN=Microsoft Online Svcs BPOS APAC CA4Microsoft Services PCA3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83
Microsoft Online Svcs BPOS APAC CA5Microsoft Services PCAd0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e
Microsoft Online Svcs BPOS APAC CA6Microsoft Services PCA08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02
Microsoft Online Svcs BPOS CA1Microsoft Services PCA76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b
Microsoft Online Svcs BPOS CA2Microsoft Services PCA58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92
Microsoft Online Svcs BPOS CA2Microsoft Services PCA4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f
Microsoft Online Svcs BPOS CA2Microsoft Services PCAf5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a
Microsoft Online Svcs BPOS EMEA CA1Microsoft Services PCAa3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd
Microsoft Online Svcs BPOS EMEA CA2Microsoft Services PCAe9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d
Microsoft Online Svcs BPOS EMEA CA3Microsoft Services PCAa7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6
Microsoft Online Svcs BPOS EMEA CA4Microsoft Services PCA33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f
Microsoft Online Svcs BPOS EMEA CA5Microsoft Services PCA09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17
Microsoft Online Svcs BPOS EMEA CA6Microsoft Services PCA83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73
Microsoft Online Svcs CA1Microsoft Services PCA23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e
Microsoft Online Svcs CA1Microsoft Services PCAa2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66
Microsoft Online Svcs CA3Microsoft Services PCA89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6
Microsoft Online Svcs CA3Microsoft Services PCA37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce
Microsoft Online Svcs CA4Microsoft Services PCA66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f
Microsoft Online Svcs CA4Microsoft Services PCA5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86
Microsoft Online Svcs CA5Microsoft Services PCAa8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5
Microsoft Online Svcs CA5Microsoft Services PCA4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b
Microsoft Online Svcs CA6Microsoft Services PCA09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e

Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN, Come visualizzare certificati con lo snap-in MMC.

Per le edizioni supportate di Windows XP e Windows Server 2003

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché l'aggiornamento KB2728973 viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente l'aggiornamento KB2728973, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2728973.

Per le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview

Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, in quanto uno strumento di aggiornamento automatico dei certificati revocati risolverà il problema aggiungendo automaticamente i certificati all'archivio locale dei certificati non attendibili.

Lo strumento di aggiornamento automatico dei certificati revocati è disponibile per Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 tramite il servizio Microsoft Update ed è descritto nell'articolo della Microsoft Knowledge Base 2677070. Lo strumento di aggiornamento automatico dei certificati non attendibili è incluso in Windows 8 Release Preview e Windows Server 2012 Release Candidate.

Per gli utenti finali che non dispongono dello strumento di aggiornamento automatico dei certificati revocati (2677070) o per i sistemi non connessi a Internet, Microsoft consiglia ai clienti di applicare manualmente l'aggiornamento KB2728973 prima possibile. Per ulteriori informazioni su come applicare l'aggiornamento manualmente, vedere l'articolo della Microsoft Knowledge Base 2728973.

Per gli amministratori e le installazioni delle organizzazioni, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti. Per ulteriori informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2728973.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare Microsoft Security Central.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 luglio 2012): Pubblicazione dell'advisory.
  • V1.1 (11 luglio 2012): È stata corretta la data effettiva dell'elenco dei certificati non consentiti in data "giovedì 21 giugno 2012 (o successivamente)" nella sezione delle Domande frequenti, "Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft"?
  • V1.2 (5 settembre 2012): È stato corretto il nome comune del certificato "CN=Microsoft Online Svcs BPOS APAC CA4" emesso da Microsoft Services PCA.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft