Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2798897

I certificati digitali fraudolenti potrebbero consentire lo spoofing

Data di pubblicazione: giovedì 3 gennaio 2013 | Aggiornamento: lunedì 14 gennaio 2013

Versione: 1.1

Informazioni generali

Riepilogo

Microsoft è a conoscenza di attacchi attivi che utilizzano un certificato digitale fraudolento rilasciato da TURKTRUST Inc., un'autorità di certificazione presente nell'archivio delle Autorità di certificazione principale attendibili. Un certificato fraudolento potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di tipo phishing o di tipo "man-in-the-middle". Questo problema interessa tutte le versioni supportate di Microsoft Windows.

TURKTRUST Inc. ha erroneamente creato due autorità di certificazione sussidiarie (*.EGO.GOV.TR ed e-islem.kktcmerkezbankasi.org). L'autorità di certificazione sussidiaria *.EGO.GOV.TR è stata utilizzata per rilasciare un certificato digitale fraudolento su *.google.com. Questo certificato fraudolento potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di tipo phishing o di tipo "man-in-the-middle" rivolti a diverse proprietà Web di Google.

Al fine di proteggere i clienti dall'utilizzo fraudolento di questo certificato digitale, Microsoft aggiornerà l'elenco dei certificati attendibili (CTL) e fornirà un aggiornamento per tutte le versioni supportate di Microsoft Windows in modo da revocare l'attendibilità dei certificati che causano questo problema. Per ulteriori informazioni su questi certificati, consultare la sezione Domande frequenti di questo advisory.

Raccomandazione. Per sistemi che utilizzano lo strumento di aggiornamento automatico dei certificati revocati (per ulteriori informazioni, consultare l'Articolo della Microsoft Knowledge Base 2677070), inclusi Windows 8, Windows RT, Windows Server 2012 e i dispositivi su cui è in esecuzione Windows Phone 8, non è necessario effettuare alcuna operazione poiché questi sistemi sono protetti automaticamente.

Ai clienti di Windows XP e Windows Server 2003 o a coloro che decidono di non installare lo strumento di aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2798897 utilizzando il software di gestione degli aggiornamenti, verificandone la disponibilità mediante il servizio di Microsoft Update oppure scaricando e installando l'aggiornamento manualmente. Per ulteriori informazioni, consultare la sezione Soluzioni alternative di questo advisory.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2798897

Software e dispositivi interessati

Questo advisory riguarda i software e i dispositivi interessati.

Software interessato
Sistema operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi 32-bit
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi x64
Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi x64
Windows Server 2008 R2 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi Itanium
Windows Server 2008 R2 per sistemi Itanium Service Pack 1
Windows 8
Windows Server 2012
Windows RT
Opzione di installazione Server Core
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 (installazione Server Core)
Windows Server 2008 R2 per sistemi x64 Service Pack 1 (installazione Server Core)
Windows Server 2012 (installazione Server Core)
Dispositivi interessati
Windows Phone 8

Periferiche non interessate
Windows Phone 7
Windows Phone 7.5
Windows Phone 7.8

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è informare i clienti che Microsoft ha accertato l'effettivo utilizzo di un certificato digitale fraudolento per attacchi attivi rivolti a diverse proprietà Web di Google. Questo certificato, insieme ad altri due, è stato ritenuto non attendibili ed è stato aggiunto all'elenco dei certificati attendibili CTL. Per sistemi che utilizzano lo strumento di aggiornamento automatico dei certificati revocati (per ulteriori informazioni consultare l'Articolo della Microsoft Knowledge Base 2677070), inclusi Windows 8, Windows RT e Windows Server 2012, non è necessaria alcuna operazione poiché questi sistemi sono protetti automaticamente.

Per i clienti di Windows XP e Windows Server 2003 e per i clienti che non hanno installato l'Articolo della Microsoft Knowledge Base 2677070 oppure che dispongono di sistemi disconnessi e non in grado di connettersi a Microsoft Update, è disponibile un aggiornamento di tutte le versioni supportate di Microsoft Windows per risolvere il problema.

Cosa ha causato il problema?
Microsoft è stato messo a conoscenza di attacchi attivi che utilizzano un certificato digitale fraudolento rilasciato da TURKTRUST Inc., un'autorità di certificazione presente nell'archivio delle Autorità di certificazione principale attendibili. TURKTRUST Inc. ha erroneamente creato due autorità di certificazione sussidiarie (*.EGO.GOV.TR ed e-islem.kktcmerkezbankasi.org). L'autorità di certificazione *.EGO.GOV.TR è stata utilizzata per rilasciare un certificato digitale fraudolento su *.google.com. Questo certificato fraudolento potrebbe essere utilizzato per accedere a contenuti riservati, effettuare attacchi di tipo phishing o di tipo "man-in-the-middle" rivolti a diverse proprietà Web di Google.

Durante le ricerche effettuate, è stato rilevato il rilascio non corretto dei certificati *.EGO.GOV.TR ed e-islem.kktcmerkezbankasi.org: non disponevano delle estensioni CLR o OCSP e sono stati rilasciati erroneamente come certificati di entità finale. Quindi, come misura precauzionale, Microsoft revocherà l'attendibilità di questi certificati.

Questo aggiornamento interessa qualche altro certificato digitale?
Sì, oltre a risolvere le vulnerabilità legate ai certificati descritti in questo advisory, questo aggiornamento è cumulativo e include i certificati digitali descritti negli advisory precedenti: Advisory Microsoft sulla sicurezza 2524375, Advisory Microsoft sulla sicurezza 2607712, Advisory Microsoft sulla sicurezza 2641690, Advisory Microsoft sulla sicurezza 2718704 e Advisory Microsoft sulla sicurezza 2728973.

Che cos'è la crittografia?
La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.

In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.

Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale rappresenta un blocco di dati, impossibile da manomettere, che racchiude una chiave pubblica e le relative informazioni (il proprietario, lo scopo, la scadenza e altro ancora).

Per cosa sono utilizzati i certificati?
I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.

Che cos'è un'autorità di certificazione (CA)?
Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.

Che cos'è un Elenco di certificati attendibili (CTL)?
È necessario che esista una relazione di trust tra il destinatario di un messaggio firmato e il mittente del messaggio. Un metodo per stabilire tale attendibilità è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano effettivamente chi affermano di essere. Un certificato viene rilasciato da un'entità terza considerata affidabile da entrambi le parti. In questo modo, ciascun destinatario di un messaggio firmato decide se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di creare applicazioni in grado di verificare automaticamente i certificati in base a un elenco predefinito di certificati e fonti affidabili. Quest'elenco di entità attendibili (chiamate soggetti) è chiamato Elenco dei certificati attendibili (CTL, Certificate Trust List ). Per ulteriori informazioni, vedere l'articolo MSDN, Certificate Trust Verification.

Con questi certificati, a quali attacchi viene esposto il sistema ?
Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di tipo phishing o di tipo "man-in-the-middle" rivolti alle seguenti proprietà Web:

  • *.google.com
  • *.android.com
  • *.appengine.google.com
  • *.cloud.google.com
  • *.google-analytics.com
  • *.google.ca
  • *.google.cl
  • *.google.co.in
  • *.google.co.jp
  • *.google.co.uk
  • *.google.com.ar
  • *.google.com.au
  • *.google.com.br
  • *.google.com.co
  • *.google.com.mx
  • *.google.com.tr
  • *.google.com.vn
  • *.google.de
  • *.google.es
  • *.google.fr
  • *.google.hu
  • *.google.it
  • *.google.nl
  • *.google.pl
  • *.google.pt
  • *.googleapis.cn
  • *.googlecommerce.com
  • *.gstatic.com
  • *.urchin.com
  • *.url.google.com
  • *.youtube-nocookie.com
  • *.youtube.com
  • *.ytimg.com
  • android.com
  • g.co
  • goo.gl
  • google-analytics.com
  • google.com
  • googlecommerce.com
  • urchin.com
  • youtu.be
  • youtube.com

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Cosa fa Microsoft per risolvere questo problema?
Sebbene questo problema non derivi da alcun prodotto Microsoft, Microsoft aggiornerà l'elenco dei certificati attendibili e fornirà un aggiornamento per la protezione dei sistemi dei clienti. Inoltre continuerà ad analizzare questo problema e potrebbe apportare ulteriori modifiche all'elenco dei certificati attendibili o rilasciare un aggiornamento aggiuntivo per la protezione dei sistemi dei clienti.

Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft?
In caso di sistemi che utilizzano lo strumento di aggiornamento automatico dei certificati revocati (per ulteriori informazioni consultare l'Articolo della Microsoft Knowledge Base 2677070) inclusi Windows 8, Windows RT e Windows Server 2012, è possibile verificare nel Registro applicazioni del Visualizzatore eventi la presenza di una voce con i valori seguenti:

  • Origine: CAPI2
  • Livello: Informazioni
  • ID evento: 4112
  • Descrizione: Aggiornamento automatico dell'elenco dei certificati non consentiti effettuato correttamente in data: Lunedì, 31 dicembre 2012 (o successivamente).

Per i sistemi che non utilizzano lo strumento di aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:

Servizi certificatiRilasciato daIdentificazione digitale
*.google.com*.EGO.GOV.TR‎4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3
e-islem.kktcmerkezbankasi.orgTURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri‎f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb
*.EGO.GOV.TRTURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri‎c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1

Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN, Come visualizzare certificati con lo snap-in MMC.

Per le versioni supportate di Microsoft Windows

I clienti che dispongono dello strumento di aggiornamento automatico dei certificati revocati (Articolo della Microsoft Knowledge Base 2677070) non hanno bisogno di compiere alcuna operazione poiché l'elenco dei certificati attendibili viene aggiornato automaticamente.

Nota I dispositivi su cui è in esecuzione Windows Phone 8 sono dotati dello strumento di aggiornamento automatico dei certificati revocati e vengono aggiornati automaticamente.

Per gli amministratori e le installazioni delle organizzazioni che desiderano una protezione automatica attraverso lo strumento di aggiornamento automatico dei certificati revocati, esaminare l'Articolo della Microsoft Knowledge Base 2677070 per assicurarsi che lo strumento sia appropriato per l'ambiente in uso poiché i sistemi o gli ambienti disconnessi con filtri in uscita restrittivi richiedono una maggiore attenzione.

Ai clienti di Windows XP e Windows Server 2003 o a coloro che decidono di non installare lo strumento di aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2798897 utilizzando il software di gestione degli aggiornamenti, verificandone la disponibilità mediante il servizio di Microsoft Update oppure scaricando e installando l'aggiornamento manualmente. Consultare l'Articolo della Microsoft Knowledge Base 2798897 per scaricare i collegamenti.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Adam Langley e Google Chrome Security Team, per aver sottoposto il problema alla nostra attenzione e aver collaborato con noi al fine di trovare la corretta soluzione.

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (3 gennaio 2013): Pubblicazione dell'advisory.
  • V1.1 (14 gennaio 2013): È stata corretta la data effettiva dell'elenco dei certificati non consentiti con "lunedì 31 dicembre 2012 (o successivamente)" nella sezione delle Domande frequenti, "Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft"?

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft