Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2641690

Certificados digitais fraudulentos poderiam permitir falsificação

Publicado: quinta-feira, 10 de novembro de 2011 | Atualizado: quinta-feira, 19 de janeiro de 2012

Versão: 3.0

Informações Gerais

Sinopse

A Microsoft está ciente de que a DigiCert Sdn. Bhd, uma autoridade de certificação (CA) subordinada malaia sob Entrust e GTE CyberTrust, emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves fracas de criptografia, quando quebradas, podem permitir que um invasor use os certificados fraudulentamente para falsificar conteúdo, executar ataques de phishing ou executar ataques de intermediários contra todos os usuários de navegadores da Web, inclusive usuários do Internet Explorer. Embora isso não seja uma vulnerabilidade num produto da Microsoft, este problema afeta todas as versões com suporte do Microsoft Windows.

A DigiCert Sdn. Bhd não é afiliada à corporação DigiCert, Inc., que é membro do Microsoft Root Certificate Program.

Não há nenhuma indicação de que alguns certificados foram publicados fraudulentamente. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de maneira fraudulenta.

A Microsoft fornece uma atualização para todas as versões com suporte do Microsoft Windows que revoga a confiança na DigiCert Sdn. Bhd. A atualização revoga a confiança dos dois certificados da CA intermediários a seguir:

  • Digisign Server ID – (Enrich), emitido pela Autoridade de certificação Entrust.net (2048)
  • Digisign Server ID (Enrich), emitido pela GTE CyberTrust Global Root

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente, usando o software de gerenciamento de atualização, ou procurem atualizações usando o serviço Microsoft Update. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Problemas conhecidos. O Artigo 2641690 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2641690

Dispositivos e softwares afetados

Este comunicado descreve os seguintes softwares e dispositivos.

Softwares afetados
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2*
Windows Server 2008 para sistemas baseados em x64 Service Pack 2*
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1*
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas Service Pack 1 baseados no Itanium

*Instalação do núcleo do servidor afetada. Este comunicado se aplica às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, independentemente de terem sido instalados ou não com a opção de instalação de Núcleo de Servidor. Para obter mais informações sobre esta opção de instalação, consulte os artigos da Technet Managing a Server Core Installation e Servicing a Server Core Installation (em inglês). Observe que a opção de instalação de Núcleo do Servidor não se aplica a certas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação de Núcleo do Servidor.

Dispositivos afetados
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Por que este comunicado foi revisado - 19 de janeiro de 2012?
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5. Para obter mais informações, consulte o Artigo 2641690 (em inglês) da Microsoft Knowledge Base.

Por que este comunicado foi revisado em 16 de novembro de 2011 ?
A Microsoft revisou este comunicado para anunciar o novo lançamento da atualização KB2641690 para Windows XP Professional x64 Edition Service Pack 2 e todas edições com suporte do Windows Server 2003. A atualização lançada novamente aborda um problema notado por clientes usando o Windows Server Update Services (WSUS), em que a aplicabilidade da atualização não foi adequadamente detectada.

Os clientes do Windows XP Professional x64 Edition Service Pack 2 e todas edições com suporte do Windows Server 2003 devem aplicar a versão lançada novamente da atualização KB2641690 para se protegerem contra o uso de certificados fraudulentos, conforme descrito neste comunicado. Os clientes do Windows XP Service Pack 3 e edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 não são afetados por este relançamento.

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque o novo lançamento da atualização KB2641690 será baixado e instalado automaticamente.

Qual é o escopo do comunicado?
O propósito deste comunicado é notificar os clientes de que a DigiCert Sdn. Bhd emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves fracas permitiram que alguns certificados fossem comprometidos. A Microsoft revogou a confiança desta CA subordinado em uma atualização que move dois certificados da CA intermediária para o Armazenamento de certificados não confiáveis de Microsoft.

O que causou o problema?
A Microsoft foi notificada pela Entrust, uma CA no Microsoft Root Certificate Program, de que uma de suas CAs subordinadas, a DigiCert Sdn. Bhd, emitiu 22 certificados com chaves fracas de 512 bits. Além disso, essa CA subordinada emitiu certificados sem as extensões de uso ou informações de revogação apropriadas. Essa é uma violação dos requisitos do Microsoft Root Certificate Program.

Não há nenhuma indicação de que alguns certificados foram publicados fraudulentamente. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de maneira fraudulenta. A Entrust e a GTE CyberTrust revogaram os certificados da CA intermediária emitidos para a DigiCert Sdn. Bhd. A Microsoft fornece uma atualização que revoga a confiança desses dois certificados intermediários para proteger ainda mais os clientes.

Como um invasor pode duplicar um certificado?
Uma assinatura digital pode ser criada apenas pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de ser bem-sucedido na suposição da chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo levará para um invasor adivinhar a chave privada. Usando hardware moderno, chaves de 512 bits podem ser adivinhados com êxito em um curto espaço de tempo.

Como u m invasor pode usar certificados fraudulentos ?
Um invasor pode usar os certificados de 512 bits para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários de navegadores da Web, inclusive usuários do Internet Explorer.

O que a Microsoft está fazendo para ajudar a resolver este problema?
Embora esse problema não seja resultado de um problema em produtos Microsoft, nós liberamos uma atualização que move dois certificados intermediários emitidos pela Entrust e pela GTE CyberTrust para o Armazenamento de certificados não confiáveis da Microsoft. A Microsoft recomenda que os clientes apliquem a atualização imediatamente.

O que é um ataque de intermediário?
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

Qual é o procedimento para cancelar um certificado?
Há um procedimento padrão que deve permitir que a autoridade de certificação impeça que esses certificados sejam aceitos se forem usados. Cada emitente de certificado periodicamente gera uma Certificate Revocation List CRL, que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer um pedaço de dados chamado de Ponto de distribuição de CRL (CDP), que indica o local onde o CRL pode ser obtido.

Uma maneira alternativa para navegadores da Web validarem a identidade de um certificado digital é usando o Certificado Online Protocolo de Status (OCSP). O OCSP permite validação com interação de um certificado, conectando-o a uma resposta do OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer uma indicação ao local de resposta do OCSP pela extensão do Acesso de Informação de Autoridade (AIA) no certificado. Além disso, o grampeamento do OCSP permite ao servidor Web fornecer uma resposta de validação de OCSP ao cliente.

A validação de OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação de OCSP falhar, o navegador validará o certificado contatando o Local da CRL.

Algumas implantações de rede podem evitar atualizações online de OCSP ou CRL, por isso, a Microsoft lançou uma atualização para todas as versões do Microsoft Windows que adiciona esses certificados ao Armazenamento de certificados não confiáveis da Microsoft. Mover esses certificados para o Armazenamento de certificados não confiáveis da Microsoft assegura que esses certificados fraudulentos não são confiáveis em todos os cenários de implantação de rede.

Para obter mais informações sobre verificação de cancelamento de certificado, consulte o artigo da Technet, Revogação de Certificado e Verificação de Status.

Como eu sei se eu encontrei um erro de certificado de inválido?
Quando o Internet Explorer encontra um certificado inválido, os usuários veem uma página da Web que diz: "Há um problema com este certificado de segurança do site". Recomenda-se que os usuários fechem a página da Web e saiam do site quando esta mensagem de aviso aparecer.

Os usuários somente veem esta mensagem quando o certificado é determinado como inválido, por exemplo, quando o usuário tem a validação da Lista de Revogação de Certificado (CRL) ou do Protocolo de Status de Certificado Online (OCSP) habilitada. A validação do OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?
Para informações sobre como visualizar certificados, consulte o artigo do MSDN Passo a passo: Visualize certificados com o Snap-in de MMC.

No snap-in de MMC de Certificados, verifique se os seguintes certificados foram adicionados à pasta de Certificados não confiáveis:

CertificadoEmitido porThumbprint
Digisign Server ID - (Enrich)Autoridade de Certificação Entrust.net (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global Root‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Para versões com suporte do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização KB2641690 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar a atualização KB2641690 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2641690 (em inglês) da Microsoft Knowledge Base.

Para os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5

Para obter informações sobre a atualização para os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5, consulte o Artigo 2641690 (em inglês) da Microsoft Knowledge Base.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.

    Para obter mais informações sobre como ficar protegido na Internet, visite a Central de Segurança da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de novembro de 2011): Comunicado publicado.
  • V2.0 (16 de novembro de 2011): Revisado para anunciar o novo lançamento da atualização KB2641690. Consulte as Perguntas frequentes de atualização neste comunicado para obter mais informações. Além disso, um link para o Artigo 2641690 (em inglês) da Microsoft Knowledge Base foi adicionado à seção Problemas conhecidos, na Sinopse.
  • V3.0 (19 de janeiro de 2012): Revisado para anunciar o lançamento de uma atualização para os dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft