Security Advisory
Advisory Microsoft sulla sicurezza 2916652
Alcuni certificati digitali emessi in modo errato possono consentire lo spoofing
Data di pubblicazione: lunedì 9 dicembre 2013 | Aggiornamento: mercoledì 15 gennaio 2014
Versione: 2.1
Informazioni generali
Riepilogo
Microsoft è a conoscenza di un certificato CA subordinato emesso in modo errato che potrebbe essere utilizzato per accedere a contenuti riservati, per attacchi di phishing o attacchi di tipo "man-in-the-middle". Il certificato CA subordinato è stato emesso in modo errato dal Directorate General of the Treasury (DG Trésor), dipendente dalla Government of France CA (ANSSI), un'autorità di certificazione presente nell'archivio delle autorità di certificazione principali attendibili. Questo problema interessa tutte le versioni supportate di Microsoft Windows. Microsoft non è attualmente a conoscenza di attacchi correlati a questo problema.
Il certificato CA subordinato emesso erroneamente è stato usato in modo inappropriato per emettere certificati SSL per più siti, tra cui le proprietà Web di Google. Questi certificati SSL potrebbero essere utilizzati per accedere a contenuti riservati, effettuare attacchi di phishing o di tipo "man-in-the-middle" rivolti a diverse proprietà Web di Google. Il certificato CA subordinato potrebbe inoltre essere stato utilizzato per emettere certificati per altri siti, attualmente sconosciuti, che potrebbero subire attacchi analoghi.
Per proteggere i clienti dall'uso potenzialmente fraudolento di questo certificato digitale, Microsoft sta aggiornando l'Elenco dei certificati attendibili (CTL, Certificate Trust List) per tutte le versioni supportate di Microsoft Windows in modo da rimuovere l'attendibilità per i certificati che causano tale problema. Per ulteriori informazioni su questi certificati, consultare la sezione Domande frequenti di questo advisory.
Raccomandazione. Una funzionalità di aggiornamento automatico dei certificati revocati è inclusa nelle edizioni supportate di Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e per i dispositivi con Windows Phone 8. Per questi dispositivi e sistemi operativi, i clienti non devono eseguire ulteriori operazioni in quanto tali dispositivi e sistemi operativi verranno protetti in modo automatico.
Per i sistemi con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 che utilizzano la funzionalità di aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per istruzioni dettagliate), i clienti non devono eseguire ulteriori operazioni in quanto tali sistemi verranno protetti in modo automatico.
Ai clienti che utilizzano Windows XP o Windows Server 2003 o a coloro che decidono di non installare lo strumento di aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2917500 utilizzando il software di gestione degli aggiornamenti, verificandone la disponibilità mediante il servizio di Microsoft Update oppure scaricando e installando l'aggiornamento manualmente. Per ulteriori informazioni, consultare la sezione Soluzioni alternative di questo advisory.
Dettagli sull'advisory
Documentazione di riferimento per il problema
Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2917500 |
Software interessato
In questo advisory vengono presi in esame i seguenti prodotti software.
| Software interessato |
|---|
| Sistema operativo |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 |
| Windows Server 2008 per sistemi x64 Service Pack 2 |
| Windows Server 2008 per sistemi Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi Itanium Service Pack 1 |
| Windows 8 per sistemi a 32 bit |
| Windows 8 per sistemi x64 |
| Windows 8.1 per sistemi a 32 bit |
| Windows 8.1 per sistemi x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Opzione di installazione Server Core |
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core) |
| Windows Server 2008 per sistemi x64 Service Pack 2 (installazione Server Core) |
| Windows Server 2008 R2 per sistemi x64 (installazione Server Core) |
| Windows Server 2012 (installazione Server Core) |
| Windows Server 2012 R2 (installazione Server Core) |
| Dispositivi interessati |
| Windows Phone 8 |
Domande frequenti sull'advisory
Qual è lo scopo di questo advisory? Lo scopo di questo advisory è informare i clienti in merito all'emissione errata di un certificato CA subordinato da parte di DG Trésor e che tale certificato è stato utilizzato in modo inappropriato per diversi siti, tra cui le proprietà Web di Google. Questi certificati SSL potrebbero essere utilizzati per accedere a contenuti riservati, effettuare attacchi di phishing o di tipo "man-in-the-middle" rivolti a diverse proprietà Web di Google. Il certificato CA subordinato potrebbe inoltre essere stato utilizzato per emettere certificati per altri siti, attualmente sconosciuti, che potrebbero subire attacchi analoghi.
Cosa ha causato il problema? Un certificato CA subordinato è stato emesso in modo errato dal Directorate General of the Treasury (DG Trésor), dipendente dalla Government of France CA (ANSSI), un'autorità di certificazione presente nell'archivio delle autorità di certificazione principali attendibili.
Questo aggiornamento interessa qualche altro certificato digitale? ** **Sì, oltre a risolvere le vulnerabilità legate ai certificati descritti in questo advisory, questo aggiornamento è cumulativo e include i certificati digitali descritti negli advisory precedenti:
- Advisory Microsoft sulla sicurezza 2524375
- Advisory Microsoft sulla sicurezza 2607712
- Advisory Microsoft sulla sicurezza 2641690
- Advisory Microsoft sulla sicurezza 2718704
- Advisory Microsoft sulla sicurezza 2728973
- Advisory Microsoft sulla sicurezza 2798897
Che cos'è la crittografia? La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.
In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.
Che cos'è un certificato digitale? Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale rappresenta un blocco di dati, impossibile da manomettere, che racchiude una chiave pubblica e le relative informazioni (il proprietario, lo scopo, la scadenza e altro ancora).
Per cosa sono utilizzati i certificati? I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.
Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.
Che cos'è un Elenco di certificati attendibili (CTL)? È necessario che esista una relazione di trust tra il destinatario di un messaggio firmato e il mittente del messaggio. Un metodo per stabilire tale attendibilità è attraverso un certificato, un documento elettronico che verifica che le entità o le persone siano effettivamente chi affermano di essere. Un certificato viene rilasciato da un'entità terza considerata affidabile da entrambi le parti. In questo modo, ciascun destinatario di un messaggio firmato decide se l'autorità emittente del certificato del firmatario è attendibile. CryptoAPI ha implementato una metodologia per consentire agli sviluppatori di creare applicazioni in grado di verificare automaticamente i certificati in base a un elenco predefinito di certificati e fonti affidabili. Quest'elenco di entità attendibili (chiamate soggetti) è chiamato Elenco dei certificati attendibili (CTL, Certificate Trust List ). Per ulteriori informazioni, vedere l'articolo MSDN, Certificate Trust Verification.
Con questi certificati, a quali attacchi viene esposto il sistema? Un utente malintenzionato potrebbe utilizzare questi certificati per accedere a contenuti riservati, effettuare attacchi di tipo phishing o di tipo "man-in-the-middle" rivolti alle seguenti proprietà Web:
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
Che cos'è un attacco di tipo "man-in-the-middle"? Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.
Cosa fa Microsoft per risolvere questo problema? Sebbene questo problema non derivi da alcun prodotto Microsoft, Microsoft aggiornerà l'elenco dei certificati attendibili e fornirà un aggiornamento per la protezione dei sistemi dei clienti. Inoltre continuerà ad analizzare questo problema e potrebbe apportare ulteriori modifiche all'elenco dei certificati attendibili o rilasciare un aggiornamento aggiuntivo per la protezione dei sistemi dei clienti.
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio delle certificazioni non attendibili di Microsoft? ** **Per i sistemi Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 che utilizzano la funzionalità di aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per istruzioni dettagliate) e per i sistemi Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 e Windows Server 2012 R2, è possibile verificare nel Registro applicazioni del Visualizzatore eventi la presenza di una voce con i valori seguenti:
- Origine: CAPI2
- Livello: Informazioni
- ID evento: 4112
- Descrizione: Aggiornamento automatico dell'elenco dei certificati non consentiti effettuato correttamente in data: Lunedì, 5 dicembre 2013 (o successivo).
Per i sistemi che non utilizzano la funzionalità di aggiornamento automatico dei certificati revocati, nello snap-in MMC Certificati, verificare che il certificato seguente sia stato aggiunto alla cartella Certificati non attendibili:
| Servizi certificati | Rilasciato da | Identificazione digitale |
|---|---|---|
| AC DG Trésor SSL | AC DGTPE Signature Authentification | 5c e3 39 46 5f 41 a1 e4 23 14 9f 65 54 40 95 40 4d e6 eb e2 |
Nota Per informazioni su come visualizzare i certificati con lo snap-in MMC, vedere l'articolo MSDN, Come visualizzare certificati con lo snap-in MMC.
Interventi consigliati
Applicare l'aggiornamento per le versioni supportate di Microsoft Windows
Una funzionalità di aggiornamento automatico dei certificati revocati è inclusa nelle edizioni supportate di Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e per i dispositivi con Windows Phone 8. Per questi dispositivi o sistemi operativi, i clienti non devono eseguire ulteriori operazioni in quanto l'Elenco dei certificati attendibili verrà aggiornato automaticamente.
Per i sistemi con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 che utilizzano la funzionalità di aggiornamento automatico dei certificati revocati (vedere l'articolo della Microsoft Knowledge Base 2677070 per istruzioni dettagliate), i clienti non devono eseguire ulteriori operazioni in quanto l'Elenco dei certificati attendibili verrà aggiornato automaticamente.
Ai clienti che utilizzano Windows XP o Windows Server 2003 o a coloro che decidono di non installare lo strumento di aggiornamento automatico dei certificati revocati, Microsoft consiglia di applicare immediatamente l'aggiornamento 2917500 utilizzando il software di gestione degli aggiornamenti, verificandone la disponibilità mediante il servizio di Microsoft Update oppure scaricando e installando l'aggiornamento manualmente. Consultare l'Articolo della Microsoft Knowledge Base 2917500 per i collegamenti di download.
Ulteriori interventi consigliati
Proteggere il proprio PC
Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.
Tenere il software Microsoft aggiornato
Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.
Altre informazioni
Ringraziamenti
Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:
- Adam Langley e Google Chrome Security Team, per aver sottoposto il problema alla nostra attenzione e aver collaborato con noi al fine di trovare la corretta soluzione.
Microsoft Active Protections Program (MAPP)
Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.
Commenti e suggerimenti
- Per inviare un commento o un suggerimento, compilare il modulo di Supporto tecnico Microsoft Servizio di assistenza - Contattaci.
Supporto
- Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni, vedere Supporto Tecnico Microsoft.
- I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni, vedere Supporto internazionale.
- Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni
- V1.0 (9 dicembre 2013): Pubblicazione dell'advisory.
- V2.0 (12 dicembre 2013): Advisory rivisto per comunicare la disponibilità dell'aggiornamento 2917500 per i clienti che utilizzano Windows XP o Windows Server 2003 o per i clienti che decidono di non installare la funzionalità di aggiornamento automatico dei certificati revocati. L'aggiornamento 2917500 è disponibile tramite il servizio Microsoft Update e dall'Area download. Per ulteriori informazioni, consultare la sezione Soluzioni alternative di questo advisory.
- V2.1 (15 gennaio 2015): L'advisory è stato rivisto per comunicare una modifica di rilevamento nell'aggiornamento 2917500. Si tratta di una modifica solo al rilevamento. I clienti che hanno già aggiornato i propri sistemi non devono eseguire ulteriori operazioni.
Built at 2014-04-18T01:50:00Z-07:00