Consultoria de Segurança
Comunicado de Segurança da Microsoft 2728973
Certificados digitais não autorizados podem permitir falsificação
Publicado: terça-feira, 10 de julho de 2012 | Atualizado: September 05, 2012
Versão: 1.2
Informações Gerais
Resumo executivo
A Microsoft está ciente das autoridades de certificação da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Após uma revisão de rotina, estamos colocando esses certificados no Repositório de Certificados Não Confiáveis e substituindo-os por novas autoridades de certificação que atendam ao nosso alto padrão de gerenciamento de infraestrutura de chave pública (PKI). Não temos conhecimento de qualquer uso indevido das autoridades de certificação, mas estamos tomando medidas preventivas para proteger os clientes. Esse problema afeta todas as versões com suporte do Microsoft Windows.
A Microsoft está fornecendo uma atualização para todas as versões com suporte do Microsoft Windows. A atualização coloca os seguintes certificados de autoridade de certificação intermediários no Repositório de Certificados Não Confiáveis:
- Microsoft Genuine Windows Phone Public Preview CA01
- Microsoft IPTVe CA
- Microsoft Online CA001
- Microsoft Online Svcs BPOS APAC CA1
- Microsoft Online Svcs BPOS APAC CA2
- Microsoft Online Svcs BPOS APAC CA3
- CN=Microsoft Online Svcs BPOS APAC CA4
- Microsoft Online Svcs BPOS APAC CA5
- Microsoft Online Svcs BPOS APAC CA6
- Microsoft Online Svcs BPOS CA1
- Microsoft Online Svcs BPOS CA2
- Microsoft Online Svcs BPOS CA2 (2 certificados)
- Microsoft Online Svcs BPOS EMEA CA1
- Microsoft Online Svcs BPOS EMEA CA2
- Microsoft Online Svcs BPOS EMEA CA3
- Microsoft Online Svcs BPOS EMEA CA4
- Microsoft Online Svcs BPOS EMEA CA5
- Microsoft Online Svcs BPOS EMEA CA6
- Microsoft Online Svcs CA1 (2 certificados)
- Microsoft Online Svcs CA3 (2 certificados)
- Microsoft Online Svcs CA4 (2 certificados)
- Microsoft Online Svcs CA5 (2 certificados)
- Microsoft Online Svcs CA6
Recomendação. Para versões com suporte do Microsoft Windows, a Microsoft recomenda que os clientes apliquem a atualização imediatamente. Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.
Problemas conhecidos.O Artigo 2728973 Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2728973 |
Software e dispositivos afetados
Este comunicado aborda os seguintes softwares e dispositivos afetados.
| Softwares afetados |
|---|
| Sistema operacional |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edição Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para x64 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 for Itanium-Based Systems |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Opção de instalação Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core) |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) |
| Dispositivos não afetados |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Perguntas frequentes
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que a Microsoft está ciente das autoridades de certificação da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Após uma revisão de rotina e por precaução, estamos colocando esses certificados no Repositório de Certificados Não Confiáveis e substituindo-os por novas autoridades de certificação que atendam ao nosso alto padrão de gerenciamento de PKI (infraestrutura de chave pública). Não temos conhecimento de qualquer uso indevido das autoridades de certificação, mas estamos tomando medidas preventivas para proteger os clientes. Esse problema afeta todas as versões com suporte do Microsoft Windows.
A Microsoft emitiu uma atualização para todas as versões com suporte do Microsoft Windows que resolve o problema.
Esta atualização aborda outros certificados digitais não autorizados?
Sim, além de abordar os vinte e oito certificados não autorizados descritos neste comunicado, esta atualização é cumulativa e aborda certificados digitais não autorizados descritos em comunicados anteriores: 2524375 do Comunicado de Segurança da Microsoft, Comunicado de Segurança da 2607712, Comunicado de Segurança da 2641690 da Microsoft e 2718704 do Comunicado de Segurança da Microsoft.
Observe que, embora esta atualização aborda certificados descritos em comunicados anteriores, esta atualização não contém todas as funcionalidades introduzidas em comunicados anteriores. Para obter mais informações, consulte Problemas conhecidos no Artigo 2728973 da Base de Dados de Conhecimento Microsoft.
O Windows 8 Release Preview ou o Windows Server 2012 Release Candidate é afetado pelo problema abordado neste comunicado?
Sim. A atualização está disponível para o Windows 8 Release Preview e Windows Server 2012 Release Candidate. Os clientes com o Windows 8 Release Preview e o Windows Server 2012 Release Candidate são incentivados a aplicar as atualizações em seus sistemas. Para obter informações sobre como aplicar a atualização para o Windows 8 Release Preview e o Windows Server 2012 Release Preview, consulte a seção Ações Sugeridas deste comunicado.
O que é criptografia?
A criptografia é a ciência de proteger a informação, convertendo-a entre seu estado normal e legível (chamado de texto sem formatação) e aquele em que os dados são obscurecidos (conhecido como texto cifrado).
Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado de volta em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto sem formatação.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública juntamente com informações sobre ela - quem a possui, para que pode ser usada, quando expira e assim por diante.
Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.
O que é uma autoridade de certificação (AC)? As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.
O que é uma Lista de Certificados Confiáveis (CTL)? Uma relação de confiança deve existir entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se as entidades ou pessoas são quem dizem ser. Um certificado é emitido para uma entidade por um terceiro que é confiável por ambas as outras partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de confiança de certificado.
O que causou o problema?
A Microsoft está ciente das autoridades de certificação da Microsoft que estão fora de nossas práticas recomendadas de armazenamento seguro. Não temos conhecimento de qualquer uso indevido das autoridades de certificação, mas estamos tomando medidas preventivas para proteger os clientes.
Para que um invasor pode usar o problema?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
O que a Microsoft está fazendo para ajudar a resolver esse problema?
Colocamos as autoridades de certificação Microsoft afetadas no Repositório de Certificados Não Confiáveis e as substituímos por novas autoridades de certificação que atendem ao nosso alto padrão de gerenciamento de PKI (infraestrutura de chave pública).
Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft?
Para sistemas que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), incluindo o Windows 8 Release Preview e o Windows Server 2012 Release Candidate, você pode verificar o log do Aplicativo no Visualizador de Eventos para obter uma entrada com os seguintes valores:
- Fonte: CAPI2
- Nível: Informações
- IDENTIFICAÇÃO de evento: 4112
- Descrição: Atualização automática bem-sucedida da lista de certificados não permitidos com data efetiva: quinta-feira, 21 de junho de 2012 (ou posterior).
Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in MMC de certificados, verifique se os seguintes certificados foram adicionados à pasta Certificados não confiáveis:
| Certificado | Emitido por | Impressão Digital |
|---|---|---|
| Microsoft Genuine Windows Phone Public Preview CA01 | Microsoft Windows Phone PCA | e3 8a 2b 76 63 b8 67 96 43 6d 8d f5 89 8d 9f aa 68 35 b2 38 |
| Microsoft IPTVe CA | Microsoft Home Entertainment PCA | BE D4 12 B1 33 4d 7D FC EB A3 01 5E 5F 9f 90 5d 57 1c 45 CF |
| Microsoft Online CA001 | PCA dos Serviços Microsoft | A1 50 5d 98 43 C8 26 DD 67 Ed 4e A5 20 98 04 BD BB 0d F5 02 |
| Microsoft Online Svcs BPOS APAC CA1 | PCA dos Serviços Microsoft | D4 31 53 C8 C2 5F 00 41 28 79 87 25 0F 1E 3C AB AC 8C 21 77 |
| Microsoft Online Svcs BPOS APAC CA2 | PCA dos Serviços Microsoft | D8 CE 8d 07 F9 F1 9d 25 69 C2 FB 85 44 01 BC 99 C1 EB 7C 3B |
| Microsoft Online Svcs BPOS APAC CA3 | PCA dos Serviços Microsoft | e9 5d d8 6f 32 c7 71 f0 34 17 43 eb d7 5e c3 3c 74 a3 de d9 |
| CN=Microsoft Online Svcs BPOS APAC CA4 | PCA dos Serviços Microsoft | 3a 26 01 21 71 85 5d 40 20 c9 73 ser c3 f4 f9 da 45 bd 2b 83 |
| Microsoft Online Svcs BPOS APAC CA5 | PCA dos Serviços Microsoft | D0 BB 3E 3D FB FB 86 C0 EE E2 A0 47 E3 28 60 9E 6E 1F 18 5E |
| Microsoft Online Svcs BPOS APAC CA6 | PCA dos Serviços Microsoft | 08 73 8A 96 A4 85 3A 52 AC EF 23 F7 82 E8 E1 FE A7 BC ED 02 |
| Microsoft Online Svcs BPOS CA1 | PCA dos Serviços Microsoft | 76 13 bf 0b a2 61 00 6c ac 3e d2 dd ser f3 43 42 53 57 f1 8b |
| Microsoft Online Svcs BPOS CA2 | PCA dos Serviços Microsoft | 58 7B 59 FB 52 D8 A6 83 CB E1 CA 00 E6 39 3D 7B B9 23 BC 92 |
| Microsoft Online Svcs BPOS CA2 | PCA dos Serviços Microsoft | 4e d8 aa 06 d1 bc 72 ca 64 c4 7b 1d fe 05 ac c8 d5 1f c7 6f |
| Microsoft Online Svcs BPOS CA2 | PCA dos Serviços Microsoft | F5 A8 74 F3 98 7E B0 A9 96 1A 56 4B 66 9A 90 50 F7 70 30 8A |
| Microsoft Online Svcs BPOS EMEA CA1 | PCA dos Serviços Microsoft | A3 5A 8C 72 7E 88 BC CA 40 A3 F9 67 9C E8 CA 00 C2 67 89 FD |
| Microsoft Online Svcs BPOS EMEA CA2 | PCA dos Serviços Microsoft | e9 80 9e 02 3b 45 12 aa 4d 4d 53 f4 05 69 c3 13 c1 d0 29 4d |
| Microsoft Online Svcs BPOS EMEA CA3 | PCA dos Serviços Microsoft | A7 B5 53 1D DC 87 12 9E 2C 3B B1 47 67 95 3D 67 45 FB 14 A6 |
| Microsoft Online Svcs BPOS EMEA CA4 | PCA dos Serviços Microsoft | 33 0d 8d 3f d3 25 a0 e5 fd dd a2 70 13 a2 e7 5e 71 30 16 5f |
| Microsoft Online Svcs BPOS EMEA CA5 | PCA dos Serviços Microsoft | 09 27 1d d6 21 eb d3 91 0c 2e a1 d0 59 f9 9b 81 81 40 5a 17 |
| Microsoft Online Svcs BPOS EMEA CA6 | PCA dos Serviços Microsoft | 83 8f fd 50 9d e8 68 f4 81 c2 98 19 99 2e 38 a4 f7 08 28 73 |
| Microsoft Online Svcs CA1 | PCA dos Serviços Microsoft | 23 EF 33 84 E2 1F 70 F0 34 C4 67 D4 CB A6 EB 61 42 9F 17 4E |
| Microsoft Online Svcs CA1 | PCA dos Serviços Microsoft | A2 21 D3 60 30 9B 5C 3C 40 97 C4 4C C7 79 AC C5 A9 84 5B 66 |
| Microsoft Online Svcs CA3 | PCA dos Serviços Microsoft | 89 77 e8 56 9d 2a 63 3a f0 1d 03 94 85 16 81 ce 12 26 83 a6 |
| Microsoft Online Svcs CA3 | PCA dos Serviços Microsoft | 37 4d 5b 92 5b 0b d8 34 94 e6 56 eb 80 87 12 72 75 db 83 d.ce |
| Microsoft Online Svcs CA4 | PCA dos Serviços Microsoft | 66 90 C0 2B 92 2C BD 3F F0 D0 A5 99 4D BD 33 65 92 88 7E 3F |
| Microsoft Online Svcs CA4 | PCA dos Serviços Microsoft | 5d 51 85 df 1e b7 dc 76 01 54 22 ec 81 38 a5 72 4b ee 28 86 |
| Microsoft Online Svcs CA5 | PCA dos Serviços Microsoft | A8 17 06 D3 1E 6F 5C 79 1C D9 D3 B1 B9 C6 34 64 95 4B A4 F5 |
| Microsoft Online Svcs CA5 | PCA dos Serviços Microsoft | 4d f1 39 47 49 3c ff 69 cd e5 54 88 1c 5f 11 4e 97 c3 d0 3b |
| Microsoft Online Svcs CA6 | PCA dos Serviços Microsoft | 09 ff 2c c8 6c ee fa 8a 8b b3 f2 e3 e8 4d 6d a3 fa bb f6 3e |
Observação Para obter informações sobre como exibir certificados com o snap-in do MMC, consulte o artigo do MSDN, Como: Exibir certificados com o snap-in do MMC.
Ações sugeridas
Para edições com suporte do Windows XP e Windows Server 2003
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização KB2728973 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização KB2728973 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o Artigo 2728973 da Base de Dados de Conhecimento Microsoft.
Para edições com suporte do Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 Release Preview e Windows Server 2012 Release Preview
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque um atualizador automático de certificados revogados resolverá o problema adicionando automaticamente os certificados ao Repositório de Certificados Não Confiáveis.
O atualizador automático de certificados revogados está disponível para Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 por meio do serviço Microsoft Update e é descrito no Artigo 2677070 (em inglês) da Microsoft Knowledge Base. O atualizador automático de certificados não confiáveis está incluído no Windows 8 Release Preview e no Windows Server 2012 Release Candidate.
Para usuários finais que não têm o atualizador automático de certificados revogados (2677070) ou para sistemas que não estão conectados à Internet, a Microsoft recomenda que os clientes apliquem manualmente a atualização KB2728973 imediatamente. Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2728973 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações. Para obter mais informações sobre a atualização, consulte o artigo 2728973 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de julho de 2012): Comunicado publicado.
- V1.1 (11 de julho de 2012): Corrigida a data efetiva da lista de certificados não permitidos para "Quinta-feira, 21 de junho de 2012 (ou posterior)" na entrada de Perguntas frequentes, "Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft?"
- V1.2 (5 de setembro de 2012): Corrigido o nome comum para o certificado "CN=Microsoft Online Svcs BPOS APAC CA4" emitido pelo Microsoft Services PCA.
Construído em 2014-04-18T13:49:36Z-07:00