Avviso di sicurezza
Microsoft Security Advisory 2798897
I certificati digitali fraudolenti potrebbero consentire lo spoofing
Pubblicato: 3 gennaio 2013 | Aggiornato: 14 gennaio 2013
Versione: 1.1
Informazioni generali
Schema riepilogativo
Microsoft è a conoscenza degli attacchi attivi usando un certificato digitale fraudolento rilasciato da TURKTRUST Inc., che è una CA presente nell'archivio autorità di certificazione radice attendibili. Questo certificato fraudolento può essere usato per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. Questo problema interessa tutte le versioni supportate di Microsoft Windows.
TURKTRUST Inc. ha creato erroneamente due ca controllate (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). La CA controllata *.EGO.GOV.TR è stata quindi usata per rilasciare un certificato digitale fraudolento a *.google.com. Questo certificato fraudolento può essere usato per spoofare contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro diverse proprietà Web di Google.
Per proteggere i clienti dall'uso fraudolento di questo certificato digitale, Microsoft aggiorna l'elenco certificati attendibilità (CTL) e fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows che rimuove l'attendibilità dei certificati che causano questo problema. Per altre informazioni su questi certificati, vedere la sezione Domande frequenti di questo avviso.
Elemento consigliato. Per i sistemi che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), tra cui Windows 8, Windows RT, Windows Server 2012 e dispositivi che eseguono Windows Telefono 8, non è necessaria alcuna azione perché questi sistemi verranno protetti automaticamente.
Per i clienti o i clienti di Windows XP e Windows Server 2003 che scelgono di non installare l'aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2798897 utilizzando il software di gestione degli aggiornamenti, controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update o scaricando e applicando l'aggiornamento manualmente. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2798897 |
Software e dispositivi interessati
Questo avviso illustra i seguenti dispositivi e software interessati.
| Software interessato |
|---|
| Sistema operativo |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit |
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi basati su x64 |
| Windows 7 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per x64 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi basati su Itanium |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
| Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Opzione di installazione dei componenti di base del server |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) |
| Windows Server 2008 R2 per sistemi basati su x64 (installazione Server Core) |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server core) |
| Windows Server 2012 (installazione server core) |
| Dispositivi interessati |
| Windows Phone 8 |
| Dispositivi non interessati |
|---|
| Windows Phone 7 |
| Windows Phone 7.5 |
| Windows Phone 7.8 |
Domande frequenti
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che Microsoft ha confermato che un certificato digitale fraudolento è stato usato in attacchi attivi che interessano diverse proprietà Web di Google. Questo certificato e altri due certificati non sono stati attendibili e aggiunti al CTL. Per i sistemi che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), inclusi Windows 8, Windows RT e Windows Server 2012, non è necessaria alcuna azione perché questi sistemi verranno protetti automaticamente.
Per i clienti di Windows XP e Windows Server 2003, i clienti che non hanno installato l'articolo della Microsoft Knowledge Base 2677070 o per i sistemi disconnessi che non riescono a connettersi a Microsoft Update, è disponibile un aggiornamento per tutte le versioni supportate di Microsoft Windows che risolve il problema.
Cosa ha causato il problema?
Microsoft è diventata consapevole degli attacchi attivi usando un certificato digitale fraudolento rilasciato da TURKTRUST Inc., che è una CA presente nell'archivio autorità di certificazione radice attendibili. TURKTRUST Inc. ha creato erroneamente due ca controllate (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). Il file *.EGO.GOV.TR è stato usato per rilasciare un certificato digitale fraudolento a *.google.com. Questo certificato fraudolento può essere usato per spoofare contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro diverse proprietà Web di Google.
Durante l'indagine, i certificati *.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org sono stati identificati come rilasciati in modo non corretto; mancavano estensioni CRL o OCSP e venivano rilasciate erroneamente come certificati di entità finale. Pertanto, come misura precauzionale, stiamo revocando anche l'attendibilità di questi certificati.
Questo aggiornamento risolve altri certificati digitali?
Sì, oltre ad affrontare i certificati descritti in questo avviso, questo aggiornamento è cumulativo e include i certificati digitali descritti negli avvisi precedenti: Microsoft Security Advisory 2524375, Microsoft Security Advisory 2607712, Microsoft Security Advisory 2641690, Microsoft Security Advisory 2718704 e Microsoft Security Advisory 2728973.
Che cos'è la crittografia?
La crittografia è la scienza della protezione delle informazioni convertendola tra il normale stato leggibile (chiamato testo non crittografato) e quello in cui i dati vengono nascosti (noti come testo crittografato).
In tutte le forme di crittografia, viene usato un valore noto come chiave insieme a una procedura denominata algoritmo di crittografia per trasformare i dati di testo non crittografato in testo crittografato. Nel tipo più familiare di crittografia, crittografia a chiave privata, il testo crittografato viene trasformato in testo non crittografato usando la stessa chiave. Tuttavia, in un secondo tipo di crittografia, la crittografia a chiave pubblica viene usata una chiave diversa per trasformare il testo crittografato in testo non crittografato.
Che cos'è un certificato digitale?
Nella crittografia a chiave pubblica, una delle chiavi, nota come chiave privata, deve essere mantenuta segreta. L'altra chiave, nota come chiave pubblica, è destinata a essere condivisa con il mondo. Tuttavia, deve esserci un modo per consentire al proprietario della chiave di indicare al mondo a chi appartiene la chiave. I certificati digitali consentono di eseguire questa operazione. Un certificato digitale è un pezzo di dati antimanomissione che raggruppa una chiave pubblica insieme alle informazioni su di esso (chi lo possiede, per cosa può essere usato, quando scade e così via).
Quali sono i certificati usati per?
I certificati vengono usati principalmente per verificare l'identità di una persona o di un dispositivo, autenticare un servizio o crittografare i file. In genere non è necessario considerare affatto i certificati. È tuttavia possibile che venga visualizzato un messaggio che informa che un certificato è scaduto o non è valido. In questi casi è necessario seguire le istruzioni nel messaggio.
Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Che cos'è un elenco di certificati attendibili (CTL)? Un trust deve esistere tra il destinatario di un messaggio firmato e il firmatario del messaggio. Un metodo per stabilire questa relazione di trust è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano le persone che sostengono di essere. Un certificato viene rilasciato a un'entità da terze parti considerato attendibile da entrambe le altre parti. Ogni destinatario di un messaggio firmato decide quindi se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di applicazioni di creare applicazioni che verificano automaticamente i certificati rispetto a un elenco predefinito di certificati o radici attendibili. Questo elenco di entità attendibili (denominate soggetti) è denominato elenco di certificati attendibili (CTL). Per altre informazioni, vedere l'articolo MSDN, Verifica attendibilità certificati.
Cosa potrebbe fare un utente malintenzionato con questi certificati?
Un utente malintenzionato potrebbe usare questi certificati per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro le proprietà Web seguenti:
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.Google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.Google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cosa sta facendo Microsoft per risolvere questo problema?
Anche se questo problema non deriva da un problema in alcun prodotto Microsoft, microsoft sta aggiornando il CTL e fornendo un aggiornamento per proteggere i clienti. Microsoft continuerà a indagare su questo problema e potrebbe apportare modifiche future al CTL o rilasciare un aggiornamento futuro per proteggere i clienti.
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?
Per i sistemi che usano l'aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per informazioni dettagliate), inclusi Windows 8, Windows RT e Windows Server 2012, è possibile controllare il log applicazioni nel Visualizzatore eventi per ottenere una voce con i valori seguenti:
- Origine: CAPI2
- Livello: Informazioni
- ID evento: 4112
- Descrizione: aggiornamento automatico dell'elenco di certificati non consentiti con data di validità: lunedì 31 dicembre 2012 (o versione successiva).
Per i sistemi che non usano l'aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:
| Certificate | Rilasciato da | Identificazione personale |
|---|---|---|
| *.google.com | *.EGO.GOV.TR | 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3 |
| e-islem.kktcmerkezbankasi.org | TURKTRUST Digitonik Sunucu Sertifikasi Hizmetleri | f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb |
| *.EGO.GOV.TR | TURKTRUST Digitonik Sunucu Sertifikasi Hizmetleri | c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1 |
Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).
Azioni suggerite
Per le versioni supportate di Microsoft Windows
I clienti che dispongono dell'aggiornamento automatico dei certificati revocati (articolo della Microsoft Knowledge Base 2677070) non dovranno eseguire alcuna azione perché il CTL verrà aggiornato automaticamente.
Nota I dispositivi che eseguono Windows Telefono 8 contengono l'aggiornamento automatico dei certificati revocati e verranno aggiornati automaticamente.
Per gli amministratori e le installazioni aziendali che vogliono essere protetti automaticamente tramite l'aggiornamento automatico dei certificati revocati, vedere l'articolo della Microsoft Knowledge Base 2677070 per assicurarsi che sia appropriato per l'ambiente in uso come sistemi disconnessi o ambienti con filtri in uscita rigorosi richiedono considerazioni aggiuntive.
Per i clienti o i clienti di Windows XP e Windows Server 2003 che scelgono di non installare l'aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2798897 utilizzando il software di gestione degli aggiornamenti, controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update o scaricando e applicando l'aggiornamento manualmente. Per i collegamenti per il download, vedere l'articolo della Microsoft Knowledge Base 2798897.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Adam Langley e il team di sicurezza di Google Chrome per portare l'evento imprevisto alla nostra attenzione e collaborare con noi sulla risposta
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (3 gennaio 2013): Avviso pubblicato.
- V1.1 (14 gennaio 2013): correzione della data di validità dell'elenco di certificati non consentiti in "Lunedì 31 dicembre 2012 (o versione successiva)" nella voce delle domande frequenti": "Dopo l'applicazione dell'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili?"
Costruito al 2014-04-18T13:49:36Z-07:00