Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2798897

Certificados digitais fraudulentos poderiam permitir falsificação

Publicado: quinta-feira, 3 de janeiro de 2013 | Atualizado: segunda-feira, 14 de janeiro de 2013

Versão: 1.1

Informações Gerais

Sinopse

A Microsoft está ciente de ataques ativos usando um certificado digital fraudulento publicado pela TURKTRUST Inc., uma autoridade de certificação presente no Armazenamento das Autoridades de Certificação de Raiz Confiável. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários. Este problema afeta todas as versões suportadas do Microsoft Windows.

A TURKTRUST Inc. criou incorretamente duas autoridades de certificação (CA) subsidiárias (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). A CA subsidiária *.EGO.GOV.TR foi então usada para publicar um certificado digital fraudulento para o *.google.com. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários contra várias propriedades da Web do Google.

Para ajudar na proteção de clientes contra o uso fraudulento desse certificado digital, a Microsoft está atualizando a lista de certificados confiáveis (CTL) e fornecendo uma atualização para todas as versões com suporte do Microsoft Windows que remove a confiança de certificados que causam o problema. Para obter mais informações sobre esses certificados, consulte a seção Perguntas frequentes deste comunicado.

Recomendação. Para sistemas que usam o atualizador automático de certificados revogados (consulte o artigo 2677070 (em inglês) da Microsoft Knowledge Base para obter detalhes), incluindo o Windows 8, Windows RT, Windows Server 2012, e dispositivos que executam o Windows Phone 8, nenhuma ação é necessária já que esses sistemas estarão automaticamente protegidos.

Para os clientes do Windows XP e do Windows Server 2003 ou clientes que optaram não instalar o atualizador automático de certificados revogados, a Microsoft recomenda aplicar imediatamente a atualização 2798897 por meio do software de gerenciamento de atualização, verificando se há atualizações no serviço Microsoft Update ou fazendo download e aplicando a atualização manualmente. Para obter mais informações, consulte a seção Ações sugeridas deste comunicado.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2798897

Dispositivos e softwares afetados

Este comunicado descreve os seguintes softwares e dispositivos afetados:

Softwares afetados
Sistema operacional
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64
Windows 7 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para sistemas baseados no Itanium
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em Itanium
Windows 8
Windows Server 2012
Windows RT
Opção de instalação de núcleo de servidor
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação do núcleo do servidor)
Windows Server 2012 (instalação Server Core)
Dispositivos afetados
Windows Phone 8

Dispositivos não afetados
Windows Phone 7
Windows Phone 7.5
Windows Phone 7.8

Qual é o escopo do comunicado? 
O propósito deste comunicado é notificar os clientes que a Microsoft confirmou a existência de um certificado digital fraudulento que foi usado em ataques ativos afetando várias propriedades da Web do Google. Esse certificado e dois outros não são confiáveis e não foram adicionados à CTL. Para sistemas que usam o atualizador automático de certificados revogados (consulte o artigo 2677070 (em inglês) da Microsoft Knowledge Base para obter detalhes), incluindo o Windows 8, Windows RT, Windows Server 2012, nenhuma ação é necessária já que esses sistemas estarão automaticamente protegidos.

Para os clientes do Windows XP e do Windows Server 2003, clientes que não instalaram o artigo 2677070 (em inglês) da Microsoft Knowledge Base ou sistemas desconectados que não conseguem se conectar ao Microsoft Update, foi disponibilizada uma atualização para todas as versões com suporte do Microsoft Windows que soluciona o problema.

O que causou o problema?  
A Microsoft está ciente de ataques ativos usando um certificado digital fraudulento publicado pela TURKTRUST Inc., uma autoridade de certificação presente no Armazenamento das Autoridades de Certificação de Raiz Confiável. A TURKTRUST Inc. criou incorretamente duas autoridades de certificação (CA) subsidiárias (*.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org). A *.EGO.GOV.TR foi então usada para publicar um certificado digital fraudulento para o *.google.com. Esse certificado fraudulento pode ser usado para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários contra várias propriedades da Web do Google.

Durante a investigação, os certificados *.EGO.GOV.TR e e-islem.kktcmerkezbankasi.org foram identificados como tendo sido publicados incorretamente; há ausência de extensões CRL ou OCSP neles e eles foram incorretamente publicados como certificados de entidade final. Portanto, como uma medida de prevenção, revogamos a confiança desses certificados também.

Esta atualização aborda outros certificados digitais? 
Sim, além de abordar os certificados descritos neste comunicado, essa atualização é cumulativa e inclui certificados digitais descritos em comunicados anteriores: Comunicado de Segurança da Microsoft 2524375, Comunicado de Segurança da Microsoft 2607712, Comunicado de Segurança da Microsoft 2641690, Comunicado de Segurança da Microsoft 2718704, e Comunicado de Segurança da Microsoft 2728973.

O que é criptografia? 
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).

Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.

O que é um certificado digital?  
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre ela (quem a mantém, para que pode ser usada, quando expira, etc.).

Para que são usados os certificados? 
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?  
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de certificados confiáveis (CTL)?  
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.

O que um invasor pode fazer com esses certificados? 
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques a intermediários contra estas propriedades da Web:

  • *.google.com
  • *.android.com
  • *.appengine.google.com
  • *.cloud.google.com
  • *.google-analytics.com
  • *.google.ca
  • *.google.cl
  • *.google.co.in
  • *.google.co.jp
  • *.google.co.uk
  • *.google.com.ar
  • *.google.com.au
  • *.google.com.br
  • *.google.com.co
  • *.google.com.mx
  • *.google.com.tr
  • *.google.com.vn
  • *.google.de
  • *.google.es
  • *.google.fr
  • *.google.hu
  • *.google.it
  • *.google.nl
  • *.google.pl
  • *.google.pt
  • *.googleapis.cn
  • *.googlecommerce.com
  • *.gstatic.com
  • *.urchin.com
  • *.url.google.com
  • *.youtube-nocookie.com
  • *.youtube.com
  • *.ytimg.com
  • android.com
  • g.co
  • goo.gl
  • google-analytics.com
  • google.com
  • googlecommerce.com
  • urchin.com
  • youtu.be
  • youtube.com

O que é um ataque de intermediário?  
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que a Microsoft está fazendo para ajudar a resolver este problema?  
Embora esse problema não resulte de um problema em um produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização para ajudar na proteção dos clientes. A Microsoft continuará investigando o problema e pode fazer alterações futuras à CTL ou lançar uma atualização futura para ajudar a proteger os clientes.

Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?  
Para sistemas que usam o atualizador automático de certificados revogados (consulte artigo 2677070 (em inglês) da Microsoft Knowledge Base para obter detalhes), incluindo o Windows 8, Windows RT e Windows Server 2012, é possível verificar no log de aplicativo no Visualizador de Eventos se há uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informação
  • ID do evento: 4112
  • Descrição: Autoatualização bem-sucedida de lista de certificados rejeitados com a data de vigência: Segunda-feira, 31 de dezembro de 2012 (ou posteriormente).

Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in de MMC de Certificados, verifica-se que os seguintes certificados foram adicionados à pasta de Certificados não confiáveis:

CertificadoEmitido porThumbprint
*.google.com*.EGO.GOV.TR‎4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3
e-islem.kktcmerkezbankasi.orgTURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri‎f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb
*.EGO.GOV.TRTURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri‎c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1

Observação Para informações sobre como visualizar certificados com o MMC Snap-in, consulte o artigo do MSDN, Passo a passo: Visualize certificados com o Snap-in de MMC.

Para versões com suporte do Microsoft Windows

Os clientes que têm o atualizador automático de certificados revogados (artigo 2677070 (em inglês) da Microsoft Knowledge Base) não precisam tomar nenhuma medida porque a CTL será atualizada automaticamente.

Observação os dispositivos que executam o Windows Phone 8 contêm o atualizador automático de certificados revogados e serão atualizados automaticamente.

Para instalações de empresas e administradores que querem estar protegidos automaticamente usando o atualizador automático de certificados revogados, consulte o artigo 2677070 (em inglês) da Microsoft Knowledge Base para garantir que ele é apropriado para o seu ambiente já que sistemas ou ambientes desconectados com filtragem de saída estrita requerem consideração extra.

Para os clientes do Windows XP e do Windows Server 2003 ou clientes que optaram não instalar o atualizador automático de certificados revogados, a Microsoft recomenda aplicar imediatamente a atualização 2798897 por meio do software de gerenciamento de atualização, verificando se há atualizações no serviço Microsoft Update ou fazendo download e aplicando a atualização manualmente. Consulte o artigo 2798897 (em inglês) da Microsoft Knowledge Base para obter links de download.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Agradecimentos

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (3 de janeiro de 2013): Comunicado publicado.
  • V1.1 (14 de janeiro de 2013): Corrigida a lista de certificados rejeitados, com a data de vigência "Segunda-feira, 31 de dezembro de 2012 (ou posteriormente)" na entrada de Perguntas frequentes "Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?".

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft