Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2728973

Certificados digitais não autorizados podem permitir falsificação

Publicado: terça-feira, 10 de julho de 2012 | Atualizado: quarta-feira, 5 de setembro de 2012

Versão: 1.2

Informações Gerais

Sinopse

A Microsoft está ciente das autoridades de certificado da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Em uma revisão de rotina, nós colocamos estes certificados no Armazenamento de certificados não confiáveis e os substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI). Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes. Este problema afeta todas as versões suportadas do Microsoft Windows.

A Microsoft está oferecendo uma atualização para todas as versões suportadas do Microsoft Windows. A atualização coloca os seguintes certificados da CA intermediários no Armazenamento de certificados não confiáveis:

  • Microsoft Genuine Windows Phone Public Preview CA01
  • Microsoft IPTVe CA
  • Microsoft Online CA001
  • Microsoft Online Svcs BPOS APAC CA1
  • Microsoft Online Svcs BPOS APAC CA2
  • Microsoft Online Svcs BPOS APAC CA3
  • CN=Microsoft Online Svcs BPOS APAC CA4
  • Microsoft Online Svcs BPOS APAC CA5
  • Microsoft Online Svcs BPOS APAC CA6
  • Microsoft Online Svcs BPOS CA1
  • Microsoft Online Svcs BPOS CA2
  • Microsoft Online Svcs BPOS CA2 (2 certificados)
  • Microsoft Online Svcs BPOS EMEA CA1
  • Microsoft Online Svcs BPOS EMEA CA2
  • Microsoft Online Svcs BPOS EMEA CA3
  • Microsoft Online Svcs BPOS EMEA CA4
  • Microsoft Online Svcs BPOS EMEA CA5
  • Microsoft Online Svcs BPOS EMEA CA6
  • Microsoft Online Svcs CA1 (2 certificados)
  • Microsoft Online Svcs CA3 (2 certificados)
  • Microsoft Online Svcs CA4 (2 certificados)
  • Microsoft Online Svcs CA5 (2 certificados)
  • Microsoft Online Svcs CA6

Recomendação. Para versões com suporte do Microsoft Windows, a Microsoft recomenda que os clientes apliquem a atualização imediatamente. Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.

Problemas conhecidos. O Artigo 2728973 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2728973

Dispositivos e softwares afetados

Este comunicado descreve os seguintes softwares e dispositivos afetados:

Softwares afetados
Sistema operacional
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64
Windows 7 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas baseados no Itanium
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em Itanium
Opção de instalação de núcleo de servidor
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do núcleo do servidor)

Dispositivos não afetados
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Qual é o escopo do comunicado? 
O propósito deste comunicado é notificar aos clientes que a Microsoft está ciente das autoridades de certificado da Microsoft estão fora de nossas práticas recomendadas de armazenamento seguro. Em uma revisão de rotina e tomando bastante cuidado, nós colocamos estes certificados no Armazenamento de certificados não confiáveis e os substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI). Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes. Este problema afeta todas as versões suportadas do Microsoft Windows.

A Microsoft lançou uma atualização para todas as versões com suporte do Microsoft Windows para ajudar a solucionar este problema.

Esta atualização aborda outros certificados digitais não autorizados? 
Sim, além de abordar os vinte e oito certificados não autorizados descritos neste comunicado, esta atualização é cumulativa e aborda certificados digitais não autorizados descritos em comunicados anteriores: Comunicado de Segurança da Microsoft 2524375, Comunicado de Segurança da Microsoft 2607712, Comunicado de Segurança da Microsoft 2641690 e Comunicado de Segurança da Microsoft 2718704.

Observe que, embora esta atualização aborde certificados descritos em comunicados anteriores, ela não contém todas as funcionalidades introduzidas em comunicados anteriores. Para obter mais informações, consulte os problemas conhecidos no Artigo 2728973 (em inglês) da Microsoft Knowledge Base.

O Windows 8 Release Preview ou o Windows Server 2012 Release Candidate é afetado por alguma das vulnerabilidades ab ordadas neste comunicado?  
Sim. A atualização está disponível para o Windows 8 Release Preview e o Windows Server 2012 Release Candidate. Recomendamos que os clientes do Windows 8 Release Preview e Windows Server 2012 Release Candidate apliquem essas atualizações em seus sistemas. Para informação sobre como aplicar a atualização no Windows 8 Release Preview e no Windows Server 2012 Release Preview, consulte a seção Ações sugeridas deste comunicado.

O que é criptografia?
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).

Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre eles - quem a mantém, para que pode ser usada, quando expira, etc.

Para que são usados os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de certificados confiáveis (CTL)?
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.

O que causou o problema?
A Microsoft está ciente das autoridades de certificado da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Não estamos cientes de qualquer uso incorreto das autoridades de certificado, mas tomamos ações de prevenção para proteger os clientes.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários.

O que é um ataque de intermediário?
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que a Microsoft está fazendo para ajudar a resolver este problema?
Nós colocamos as autoridades de certificação da Microsoft no Armazenamento de certificados não confiáveis e as substituímos por autoridades novas de certificado que atendem ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI).

Depois de aplicar a atualização, como eu posso verificar os certificados no Ar mazenamento de certificados não confiáveis da Microsoft?  
Para sistemas que usam o atualizador automático de certificados revogados (consulte artigo 2677070 (em inglês) da Microsoft Knowledge Base para obter detalhes), inclusive Windows 8 Release Preview e Windows Server 2012 Release Candidate, você pode verificar o log de aplicativo no Event Viewer para uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informação
  • ID do evento: 4112
  • Descrição: Autoatualização bem-sucedida de lista de certificados rejeitados com a data de vigência: Quinta-feira, 21 de junho de 2012 (ou posteriormente).

Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in de MMC de Certificados, verifica-se que os seguintes certificados foram adicionados à pasta de Certificados não confiáveis:

CertificadoEmitido porThumbprint
Microsoft Genuine Windows Phone Public Preview CA01 Microsoft Windows Phone PCAe3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38
Microsoft IPTVe CAMicrosoft Home Entertainment PCAbe d4 12 b1 33 4d 7d fc eb a3 01 5e 5f 9f 90 5d 57 1c 45 cf
Microsoft Online CA001Microsoft Services PCAa1 50 5d 98 43 c8 26 dd 67 ed 4e a5 20 98 04 bd bb 0d f5 02
Microsoft Online Svcs BPOS APAC CA1Microsoft Services PCAd4 31 53 c8 c2 5f 00 41 28 79 87 25 0f 1e 3c ab ac 8c 21 77
Microsoft Online Svcs BPOS APAC CA2Microsoft Services PCAd8 ce 8d 07 f9 f1 9d 25 69 c2 fb 85 44 01 bc 99 c1 eb 7c 3b
Microsoft Online Svcs BPOS APAC CA3Microsoft Services PCAe9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9
CN=Microsoft Online Svcs BPOS APAC CA4Microsoft Services PCA3a 26 01 21 71 85 5d 40 20 c9 73 be c3 f4 f9 da 45 bd 2b 83
Microsoft Online Svcs BPOS APAC CA5Microsoft Services PCAd0 bb 3e 3d fb fb 86 c0 ee e2 a0 47 e3 28 60 9e 6e 1f 18 5e
Microsoft Online Svcs BPOS APAC CA6Microsoft Services PCA08 73 8a 96 a4 85 3a 52 ac ef 23 f7 82 e8 e1 fe a7 bc ed 02
Microsoft Online Svcs BPOS CA1Microsoft Services PCA76 13 bf 0b a2 61 00 6c ac 3e d2 dd be f3 43 42 53 57 f1 8b
Microsoft Online Svcs BPOS CA2Microsoft Services PCA58 7b 59 fb 52 d8 a6 83 cb e1 ca 00 e6 39 3d 7b b9 23 bc 92
Microsoft Online Svcs BPOS CA2Microsoft Services PCA4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f
Microsoft Online Svcs BPOS CA2Microsoft Services PCAf5 a8 74 f3 98 7e b0 a9 96 1a 56 4b 66 9a 90 50 f7 70 30 8a
Microsoft Online Svcs BPOS EMEA CA1Microsoft Services PCAa3 5a 8c 72 7e 88 bc ca 40 a3 f9 67 9c e8 ca 00 c2 67 89 fd
Microsoft Online Svcs BPOS EMEA CA2Microsoft Services PCAe9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d
Microsoft Online Svcs BPOS EMEA CA3Microsoft Services PCAa7 b5 53 1d dc 87 12 9e 2c 3b b1 47 67 95 3d 67 45 fb 14 a6
Microsoft Online Svcs BPOS EMEA CA4Microsoft Services PCA33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f
Microsoft Online Svcs BPOS EMEA CA5Microsoft Services PCA09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17
Microsoft Online Svcs BPOS EMEA CA6Microsoft Services PCA83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73
Microsoft Online Svcs CA1Microsoft Services PCA23 ef 33 84 e2 1f 70 f0 34 c4 67 d4 cb a6 eb 61 42 9f 17 4e
Microsoft Online Svcs CA1Microsoft Services PCAa2 21 d3 60 30 9b 5c 3c 40 97 c4 4c c7 79 ac c5 a9 84 5b 66
Microsoft Online Svcs CA3Microsoft Services PCA89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6
Microsoft Online Svcs CA3Microsoft Services PCA37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 ce
Microsoft Online Svcs CA4Microsoft Services PCA66 90 c0 2b 92 2c bd 3f f0 d0 a5 99 4d bd 33 65 92 88 7e 3f
Microsoft Online Svcs CA4Microsoft Services PCA5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86
Microsoft Online Svcs CA5Microsoft Services PCAa8 17 06 d3 1e 6f 5c 79 1c d9 d3 b1 b9 c6 34 64 95 4b a4 f5
Microsoft Online Svcs CA5Microsoft Services PCA4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b
Microsoft Online Svcs CA6Microsoft Services PCA09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e

Observação Para informações sobre como visualizar certificados com o MMC Snap-in, consulte o artigo do MSDN, Passo a passo: Visualize certificados com o Snap-in de MMC.

Para edições com suporte do Windows XP e Windows Server 2003

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização KB2728973 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar a atualização KB2728973 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.

Para edições com suporte do Windows Vista , Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview

A maioria de clientes tem atualizações automáticas habilitadas e não precisará tomar nenhuma providência, porque um atualizador automático de certificados revogados corrigirá o problema automaticamente adicionando os certificados ao Armazenamento de certificados não confiáveis.

O atualizador automático de certificados revogados está disponível para Windows Vista, Windows Server 2008, Windows 7, e Windows Server 2008 R2 pelo serviço Microsoft Update e é descrito no artigo 2677070 (em inglês) da Microsoft Knowledge Base. O atualizador automático de certificados não confiáveis é incluído no Windows 8 Release Preview e Windows Server 2012 Release Candidate.

Para usuários finais que não têm o atualizador automático de certificados revogados (2677070) nem de sistemas que não são conectados à Internet, a Microsoft recomenda que os clientes apliquem manualmente a atualização KB2728973 imediatamente. Para obter mais informações sobre como aplicar manualmente essa atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.

Para administradores e instalações empresariais, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualização. Para obter mais informações sobre a atualização, consulte o Artigo 2728973 (em inglês) da Microsoft Knowledge Base.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.

    Para obter mais informações sobre como ficar protegido na Internet, visite a Central de Segurança da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de julho de 2012): Comunicado publicado.
  • V1.1 (11 de julho de 2012): Corrigida a lista de certificados rejeitados, com a data de vigência "Quinta-feira, 21 de junho de 2012 (ou posteriormente)" na entrada de Perguntas frequentes "Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?".
  • V1.2 (5 de setembro de 2012): Corrigido o nome comum do certificado "CN=Microsoft Online Svcs BPOS APAC CA4" publicado pelo Microsoft Services PCA.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft