Comunicado de Segurança da Microsoft 3119884

Os certificados digitais divulgados inadvertidamente podem permitir falsificação

Publicado em: 30.11.15

Versão: 1.0

A Microsoft está ciente de certificados digitais irrestritos da Dell Inc. em que as chaves particulares foram inadvertidamente fechadas. Um desses certificados irrestritos pode ser usado para emitir outros certificados, representar outros domínios ou assinar o código. Além disso, esses certificados podem ser usados para falsificar conteúdos, executar ataques de phishing ou ataques a intermediários contra clientes da Dell. Este problema afeta todas as versões suportadas do Microsoft Windows. Atualmente, a Microsoft desconhece ataques relacionados a este problema.

Para ajudar a proteger os clientes de possível uso fraudulento dos certificados digitais irrestritos, estes passaram a ser considerados inválidos pela Dell Inc. e a Microsoft está atualizando a lista de Certificados Confiáveis (CTL) para todas as versões com suporte do Microsoft Windows para remover a confiança nestes certificados. Para obter mais informações sobre esses certificados, consulte a seção Perguntas frequentes deste comunicado.

Recomendação. Um atualizador automático de listas de certificados confiáveis está incluído em edições com suporte do Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows 10 versão 1511, e para dispositivos executando Windows Phone 8, Windows Phone 8.1 e Windows 10 Mobile. Para estes sistemas operacionais e dispositivos, os clientes não precisam tomar nenhuma providência, visto que estes sistemas e dispositivos estarão protegidos automaticamente.

Em sistemas com Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que estejam usando o atualizador automático de listas de certificados confiáveis (consulte o Artigo 2677070 da Microsoft Knowledge Base para obter detalhes), os clientes não precisam tomar nenhuma providência, pois esses sistemas estarão automaticamente protegidos.

Este comunicado descreve o seguinte software:

Softwares Afetados

Sistema operacional

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008 Service Pack 2 para sistemas de 32 bits

Windows Server 2008 Service Pack 2 para sistemas baseados em x64

Windows Server 2008 para sistemas baseados em Itanium Service Pack 2

Windows 7 para sistemas de 32 bits Service Pack 1

Windows 7 para sistemas baseados em x64 Service Pack 1

Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1

Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium

Windows 8 para sistemas de 32 bits

Windows 8 para sistemas baseados em x64

Windows 8.1 para sistemas de 32 bits

Windows 8.1 para sistemas baseados em x64

Windows RT

Windows RT 8.1

Windows Server 2012

Windows Server 2012 R2

Windows 10

Windows 10 versão 1511

Opção de instalação Server Core

Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)

Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)

Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)

Windows Server 2012 (instalação Server Core)

Windows Server 2012 R2 (instalação Server Core)

Dispositivos afetados

Windows Phone 8

Windows Phone 8.1

Windows 10 Mobile

Qual é o escopo do comunicado?
O objetivo deste comunicado é notificar os clientes que as chaves particulares de diversos certificados digitais irrestritos da Dell Inc. foram inadvertidamente fechados. Os certificados irrestritos podem ser usados para falsificar conteúdos, executar ataques de phishing ou ataques a intermediários contra clientes da Dell. Um dos certificados pode ser usado para emitir outros certificados, representar outros domínios ou assinar o código.

O que causou o problema?
O problema foi causado pela divulgação inadvertida de informações de chaves particulares para dois certificados criptográficos da Dell Inc.

Esta atualização aborda outros certificados digitais?
Sim, além de abordar os certificados descritos neste comunicado, essa atualização é cumulativa e inclui certificados digitais descritos em comunicados anteriores:

O que é criptografia?
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).

Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.

O que é um certificado digital?  
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre ela (quem a mantém, para que pode ser usada, quando expira, etc.).

Para que são usados os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?  
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de certificados confiáveis (CTL)?  
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.

O que um atacante pode fazer com esses certificados?
Um atacante pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou a intermediários contra as seguintes propriedades da Web: Um atacante também poderia usar um desses certificados para emitir outros certificados, representar outros domínios ou assinar o código.

O que é um ataque de intermediário?  
Um ataque de intermediário ocorre quando um atacante desvia a comunicação entre dois usuários pelo computador do atacante, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do atacante, achando que está se comunicando somente com o usuário pretendido.

O que a Microsoft está fazendo para ajudar a resolver este problema?  
Embora esse problema não resulte de um problema em um produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização para ajudar na proteção dos clientes. A Microsoft continuará investigando o problema e pode fazer alterações futuras à CTL ou lançar uma atualização futura para ajudar a proteger os clientes.

Depois de aplicar a atualização, como eu posso verificar os certificados no Armazenamento de certificados não confiáveis da Microsoft?
Para Windows Vista, Windows 7, Windows Server 2008 e sistemas Windows Server 2008 R2 que usam o atualizador automático da lista de certificados confiáveis (consulte o Artigo 2677070 da Microsoft Knowledge Base para obter mais detalhes), e para sistemas com Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10, e Windows 10 versão 1511, você pode verificar o log do aplicativo no Visualizador de Eventos se há uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informação
  • Identificação do Evento: 4112
  • Descrição: Autoatualização bem-sucedida de lista de certificados rejeitados com a data de vigência: 24.11.15 (ou posterior).

Para sistemas que não usam o atualizador automático da lista de certificados confiáveis, no snap-in do MMC de Certificados, verifique se o seguinte certificado foi adicionado à pasta de Certificados não-confiáveis:

Certificado

Emitido por                   

Thumbprint

DSDTestProvider

DSDTestProvider

‎02 c2 d9 31 06 2d 7b 1d c2 a5 c7 f5 f0 68 50 64 08 1f b2 21

eDellCert

eDellCert

98 a0 4e 41 63 35 77 90 c4 a7 9e 6d 71 3f f0 af 51 fe 69 27

Observação Para informações sobre como visualizar certificados com o MMC Snap-in, consulte o artigo do MSDN, Passo a passo: Visualize certificados com o Snap-in de MMC.

Aplique as atualização em versões suportadas do Microsoft Windows

Um atualizador automático de listas de certificados confiáveis está incluído em edições com suporte do Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows 10 versão 1511, e para dispositivos executando Windows Phone 8, Windows Phone 8.1 e Windows 10 Mobile. Para estes sistemas operacionais ou dispositivos, os cliente não precisam tomar nenhuma providência porque a CTL será atualizado automaticamente.

Em sistemas com Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que estejam usando o atualizador automático de listas de certificados confiáveis (consulte o Artigo 2677070 da Microsoft Knowledge Base para obter detalhes), os clientes não precisam tomar nenhuma providência porque o CTL será atualizado automaticamente.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações são fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (30.11.15): Comunicado publicado.

Página gerada em 03.12.15 14:47:00-08:00.
Mostrar: