Comunicado de Segurança da Microsoft 3123040
Certificado digital divulgado inadvertidamente pode permitir falsificação
Publicado em: 8 de dezembro de 2015
Versão: 1.0
Resumo executivo
A Microsoft está ciente de um certificado digital SSL/TLS para *.xboxlive.com para o qual as chaves privadas foram divulgadas inadvertidamente. O certificado pode ser usado em tentativas de executar ataques man-in-the-middle. Ele não pode ser usado para emitir outros certificados, representar outros domínios ou assinar código. Esse problema afeta todas as versões com suporte do Microsoft Windows. No momento, a Microsoft não está ciente de ataques relacionados a esse problema.
Para ajudar a proteger os clientes contra o uso potencialmente fraudulento do certificado digital SSL/TLS, o certificado foi considerado inválido e a Microsoft está atualizando a lista de certificados confiáveis (CTL) para todas as versões com suporte do Microsoft Windows para remover a confiança do certificado. Para obter mais informações sobre o certificado, consulte a seção Perguntas frequentes deste comunicado.
Recomendação. Um atualizador automático de listas de certificados confiáveis está incluído em edições com suporte do Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows 10 Versão 1511 e para dispositivos que executam o Windows Phone 8, Windows Phone 8.1 e Windows 10 Mobile. Para esses sistemas operacionais e dispositivos, os clientes não precisam tomar nenhuma ação, pois esses sistemas e dispositivos serão protegidos automaticamente.
Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que estão usando o atualizador automático de listas de certificados confiáveis (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), os clientes não precisam executar nenhuma ação, pois esses sistemas serão protegidos automaticamente.
Softwares afetados
Este comunicado aborda o seguinte software.
| Softwares afetados |
|---|
| Sistema operacional |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edição Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Windows 8 para sistemas de 32 bits |
| Windows 8 para sistemas baseados em x64 |
| Windows 8.1 para sistemas de 32 bits |
| Windows 8.1 para sistemas baseados em x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows 10 |
| Windows 10 versão 1511 |
| Opção de instalação Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) |
| Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core) |
| Windows Server 2012 (instalação Server Core) |
| Windows Server 2012 R2 (instalação Server Core) |
| Dispositivos afetados |
| Windows Phone 8 |
| Windows Phone 8.1 |
| Windows 10 Mobile |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que as chaves privadas de um certificado digital SSL/TLS para *xboxlive.com foram divulgadas inadvertidamente. O certificado SSL/TLS pode ser usado para executar ataques intermediários contra clientes do Xbox Live.
O que causou o problema?
O problema foi causado pela divulgação inadvertida de informações de chave privada para um certificado criptográfico para *.xboxlive.com.
Esta atualização aborda outros certificados digitais?
Sim, além de abordar o certificado descrito neste comunicado, esta atualização é cumulativa e inclui certificados digitais descritos em comunicados anteriores:
- Comunicado de Segurança da Microsoft 2982792
- Comunicado de Segurança da Microsoft 2916652
- Comunicado de Segurança da Microsoft 2798897
- Comunicado de Segurança da Microsoft 2728973
- Comunicado de Segurança da Microsoft 2718704
- Comunicado de Segurança da Microsoft 2641690
- Comunicado de Segurança da Microsoft 2607712
- Comunicado de Segurança da Microsoft 2524375
- Comunicado de Segurança da Microsoft 3046310
- Comunicado de Segurança da Microsoft 3119884
O que é criptografia?
A criptografia é a ciência de proteger a informação, convertendo-a entre seu estado normal e legível (chamado de texto sem formatação) e aquele em que os dados são obscurecidos (conhecido como texto cifrado).
Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado de volta em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto sem formatação.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública junto com informações sobre ela (quem a possui, para que pode ser usada, quando expira e assim por diante).
Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.
O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.
O que é uma Lista de Certificados Confiáveis (CTL)?
Uma relação de confiança deve existir entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se as entidades ou pessoas são quem dizem ser. Um certificado é emitido para uma entidade por um terceiro que é confiável por ambas as outras partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de confiança de certificado.
O que um invasor pode fazer com esses certificados?
Um invasor pode usar esses certificados para executar ataques intermediários contra propriedades *.xboxlive.com.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
O que a Microsoft está fazendo para ajudar a resolver esse problema?
Embora esse problema não resulte de um problema em nenhum produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização para ajudar a proteger os clientes. A Microsoft continuará a investigar esse problema e poderá fazer alterações futuras na CTL ou lançar uma atualização futura para ajudar a proteger os clientes.
Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft?
Para sistemas Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 que estão usando o atualizador automático de listas de certificados confiáveis (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes) e para sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows 10 Versão 1511, você pode verificar o log do aplicativo no Visualizador de eventos para uma entrada com os seguintes valores:
- Fonte: CAPI2
- Nível: Informações
- IDENTIFICAÇÃO de evento: 4112
- Descrição: Atualização automática bem-sucedida da lista de certificados não permitidos com data efetiva: terça-feira, 1º de dezembro de 2015 (ou posterior).
Para sistemas que não usam o atualizador automático de listas confiáveis de certificados, no snap-in MMC de certificados, verifique se o seguinte certificado foi adicionado à pasta Certificados não confiáveis:
| Certificado | Emitido por | Impressão Digital |
|---|---|---|
| xboxlive.com | Microsoft IT SSL SHA2 | 8b 2e 65 a5 da 17 fc cc bc de 7e f8 7b 0c 0e d5 d0 70 1f 9f |
Observação Para obter informações sobre como exibir certificados com o snap-in do MMC, consulte o artigo do MSDN, Como: Exibir certificados com o snap-in do MMC.
Ações sugeridas
Aplicar a atualização para versões com suporte do Microsoft Windows
Um atualizador automático de listas de certificados confiáveis está incluído nas edições com suporte do Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 e Windows 10 Versão 1511 e para dispositivos que executam o Windows Phone 8, Windows Phone 8.1 e Windows 10 Mobile. Para esses sistemas operacionais ou dispositivos, os clientes não precisam executar nenhuma ação porque a CTL será atualizada automaticamente.
Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que estão usando o atualizador automático de listas de certificados confiáveis (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), os clientes não precisam executar nenhuma ação porque a CTL será atualizada automaticamente.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de dezembro de 2015): Comunicado publicado.
Página gerada em 03/12/2015 13:05-08:00.