Consultoria de Segurança
Comunicado de Segurança da Microsoft 2524375
Certificados digitais fraudulentos podem permitir falsificação
Publicado: terça-feira, 23 de março de 2011 | Atualizado: July 06, 2011
Versão: 5.0
Informações Gerais
Resumo executivo
A Microsoft está ciente de nove certificados digitais fraudulentos emitidos pela Comodo, uma autoridade de certificação presente no Trusted Root Certification Authorities Store, em todas as versões com suporte de dispositivos Microsoft Windows, Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune HD. A Comodo informou à Microsoft em 16 de março de 2011 que nove certificados haviam sido assinados em nome de terceiros sem validar suficientemente sua identidade. Esses certificados podem ser usados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer.
Esses certificados afetam as seguintes propriedades da Web:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificados)
- login.skype.com
- addons.mozilla.org
- "Administrador Global"
A Comodo revogou esses certificados e eles estão listados na Lista de Revogação de Certificados (CRL) atual da Comodo. Além disso, os navegadores que habilitaram o Protocolo de Status de Certificado Online (OCSP) validarão interativamente esses certificados e bloquearão seu uso.
Uma atualização para ajudar a resolver esse problema está disponível para todas as versões com suporte do Windows, dispositivos Windows Mobile 6.x e dispositivos Zune HD. A partir de 3 de maio de 2011, a atualização também está começando a ser entregue aos clientes do Windows Phone 7. Para obter mais informações sobre essa atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para versões com suporte do Microsoft Windows, normalmente nenhuma ação é necessária dos clientes para instalar essa atualização, porque a maioria dos clientes tem a atualização automática habilitada e essa atualização será baixada e instalada automaticamente. Para obter mais informações, incluindo como instalar manualmente esta atualização e como instalá-la em dispositivos Windows Mobile 6.x, Windows Phone 7 e Zune HD, consulte a seção Ações sugeridas deste comunicado.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2524375 |
Software e dispositivos afetados
Este comunicado aborda os seguintes softwares e dispositivos.
| Softwares afetados |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2* |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2* |
| Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* |
| Windows Server 2008 R2 para sistemas baseados no Itanium e Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1 |
| Dispositivos afetados |
| Windows Mobile 6.x |
| Windows Phone 7 |
| Microsoft Kin |
| Zune HD 16GB, Zune HD 32GB e Zune HD 64GB |
*Instalação Server Core afetada. Esta atualização se aplica, com a mesma classificação de gravidade, às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, independentemente de serem ou não instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
| Dispositivos não afetados |
|---|
| Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB |
Perguntas frequentes
Por que este comunicado foi revisado em 6 de julho de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento da atualização para resolver o problema de segurança SSL para dispositivos Zune HD. Para instalar a atualização, os clientes do Zune HD devem conectar seu dispositivo a um computador e usar o cliente Zune PC para concluir o processo de atualização. Para obter mais informações e instruções, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
A atualização para o Microsoft Kin não está disponível no momento. A Microsoft emitirá uma atualização para este dispositivo quando o teste for concluído, para garantir um alto grau de qualidade para seu lançamento.
Por que os dispositivos Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB foram removidos da tabela Softwares e dispositivos afetados?
Após uma análise cuidadosa do vetor de ataque, a Microsoft determinou que a chance de explorar esse problema nesses dispositivos Zune é extremamente baixa devido ao fato de que esses dispositivos não têm um navegador da Web. Como resultado, Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB não receberão uma atualização e foram movidos para a tabela Dispositivos Não Afetados.
Por que este comunicado foi revisado em 10 de maio de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x. A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
As atualizações para dispositivos Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste for concluído, para garantir um alto grau de qualidade para seu lançamento.
Por que este comunicado foi revisado em 3 de maio de 2011?
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Phone 7. No momento do lançamento, a atualização não está disponível para todos os clientes do Windows Phone 7; Em vez disso, os clientes receberão uma notificação no dispositivo assim que a atualização estiver disponível para o telefone. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar o telefone a um computador e usar o cliente Zune PC ou o Conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
As atualizações para dispositivos Windows Mobile 6.x, Microsoft Kin, e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste for concluído, para garantir um alto grau de qualidade para seu lançamento.
Por que este comunicado foi revisado em 19 de abril de 2011?
A Microsoft revisou este comunicado para adicionar dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune a softwares e dispositivos afetados. A Microsoft está ciente de que o armazenamento de certificados não confiáveis local nesses dispositivos precisa ser atualizado para incluir os nove certificados digitais fraudulentos.
As atualizações para dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft emitirá atualizações para esses dispositivos quando o teste for concluído, para garantir um alto grau de qualidade para seu lançamento.
O que é criptografia?
A criptografia é a ciência de proteger a informação, convertendo-a entre seu estado normal e legível (chamado de texto sem formatação) e aquele em que os dados são obscurecidos (conhecido como texto cifrado).
Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado de volta em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto sem formatação.
O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública juntamente com informações sobre ela - quem a possui, para que pode ser usada, quando expira e assim por diante.
Para que servem os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.
O que é uma autoridade de certificação (AC)?
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.
O que causou o problema?
A Comodo, uma importante autoridade de certificação, informou à Microsoft que vários certificados digitais foram emitidos sem validar suficientemente sua identidade. Esses certificados podem ser usados para falsificar a identidade dos serviços, enganando os usuários para que confiem neles.
Observação A Comodo revogou esses certificados e eles estão listados na lista de revogação de certificados (CRL) atual do Comodo.
Para que um invasor pode usar a vulnerabilidade?
Um invasor pode usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
Qual é o procedimento para revogar um certificado?
Existe um procedimento padrão que deve permitir que a Comodo impeça que esses certificados sejam aceitos se forem usados. Cada emissor de certificado gera periodicamente uma CRL, que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer uma parte de dados chamada CDP (Ponto de Distribuição de CRL) que indica o local onde a CRL pode ser obtida.
Uma maneira alternativa para os navegadores da Web validarem a identidade de um certificado digital é usando o OCSP (Online Certificate Status Protocol). O OCSP permite a validação interativa de um certificado conectando-se a um respondente OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um ponteiro para o local do respondente OCSP por meio da extensão Authority Information Access (AIA) no certificado. Além disso, o grampeamento OCSP permite que o próprio servidor Web forneça uma resposta de validação OCSP ao cliente.
A validação OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação OCSP falhar, o navegador validará o certificado entrando em contato com o Local da CRL.
Para obter mais informações sobre a verificação de revogação de certificado, consulte o artigo do TechNet, Revogação de certificado e verificação de status.
O que é uma lista de revogação de certificados (CRL)?
A CRL é uma lista assinada digitalmente, emitida por uma autoridade de certificação, que contém uma lista de certificados emitidos pela autoridade de certificação e posteriormente revogados pela autoridade de certificação. Para cada certificado revogado individual, a listagem inclui o número de série do certificado, a data em que o certificado foi revogado e o motivo da revogação. Os aplicativos podem executar a verificação de CRL para determinar o status de revogação de um certificado apresentado.
O que é CDP (Ponto de Distribuição de CRL)?
CDP é uma extensão de certificado que indica onde a lista de revogação de certificado para uma autoridade de certificação pode ser recuperada. Ele pode conter nenhum, um ou muitos URLs HTTP, arquivo ou LDAP.
O que é o OCSP (Online Certificate Status Protocol)?
O OCSP é um protocolo que permite a validação em tempo real do status de um certificado. Normalmente, um respondente OCSP responde com o status de revogação com base na CRL recuperada da CA.
O que a Microsoft está fazendo para ajudar a resolver esse problema?
Embora esse problema não resulte de um problema em nenhum produto da Microsoft, desenvolvemos uma atualização que ajudará a proteger os clientes, garantindo que esses nove certificados fraudulentos sejam sempre tratados como não confiáveis.
Se não houver nenhum problema no software da Microsoft, por que a Microsoft está lançando uma atualização?
Mesmo quando a validação de CRL e OCSP está habilitada, as técnicas de validação não são suficientemente robustas para garantir que os usuários estejam protegidos contra o uso mal-intencionado desses certificados. Quando o local da CRL e o respondente OCSP podem ser alcançados, as verificações de validação são altamente confiáveis e eficazes.
No entanto, quando as verificações de revogação de certificado falham devido a problemas de rede e conectividade, os navegadores e outros aplicativos cliente, incluindo o Internet Explorer, podem ignorar esses erros e considerar o certificado confiável devido à falta de prova do contrário. Nesses cenários, os clientes ainda podem ser afetados.
**O que a atualização faz? ** A atualização para versões com suporte do Microsoft Windows resolve o problema colocando os nove certificados fraudulentos no armazenamento de certificados não confiáveis local do Microsoft Windows. As atualizações para dispositivos Windows Mobile 6.x, Windows Phone 7 e Zune HD resolvem o problema colocando os nove certificados fraudulentos no armazenamento de certificados não confiáveis local no dispositivo. A atualização para o Microsoft Kin não está disponível no momento.
Como saber se encontrei um erro de certificado inválido?
Quando o Internet Explorer encontra um certificado inválido, os usuários recebem uma página da Web que diz: "Há um problema com o certificado de segurança deste site". Os usuários são incentivados a fechar a página da Web e navegar para fora do site quando essa mensagem de aviso for exibida.
Essa mensagem só é apresentada aos usuários quando o certificado é considerado inválido, por exemplo, quando o usuário tem a validação da CRL (Lista de Certificados Revogados) ou do OCSP (Online Certificate Status Protocol) habilitada. A validação OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Depois de aplicar a atualização, como posso verificar os certificados na pasta Certificados Não Confiáveis?
Para obter informações sobre como exibir certificados, consulte o artigo do MSDN Como: Exibir certificados com o snap-in do MMC.
No snap-in MMC de certificados, verifique se os seguintes certificados foram adicionados à pasta Certificados não confiáveis:
| Certificado | Emitido por | Número de Série |
|---|---|---|
| addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
| "Administrador Global" | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | UTN-USERFirst-Hardware | 00 B0 B7 13 3E D0 96 F9 B5 6F Ae 91 C8 74 BD 3A C0 |
| login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | UTN-USERFirst-Hardware | 00 D7 55 8F Da F5 F1 10 5B B2 13 28 2B 70 77 29 A3 |
| login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | UTN-USERFirst-Hardware | 3e 75 CE D4 6B 69 30 21 21 88 30 AE 86 A8 2A 71 |
| mail.google.com | UTN-USERFirst-Hardware | 04 7E CB E9 FC A5 5F 7B D0 9E Ae 36 E1 0C Ae 1E |
| www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
Ações sugeridas
Instalar a atualização
Uma atualização está disponível para ajudar a resolver esse problema.
Para versões suportadas do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação, pois essa atualização será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar essa atualização manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update .
A atualização também está disponível no Centro de Download da Microsoft; consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base para obter links para download.
Para dispositivos Windows Phone 7
No momento do lançamento, a atualização não está disponível para todos os clientes do Windows Phone 7; Em vez disso, os clientes receberão uma notificação no dispositivo assim que a atualização estiver disponível para o telefone. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar o telefone a um computador e usar o cliente Zune PC ou o Conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações sobre a atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para atualizar o cliente Zune PC, os clientes podem configurar a atualização automática para verificar online se há atualizações do Microsoft Update usando o serviço Microsoft Update . Os clientes que têm a atualização automática habilitada e configurada para verificar online se há atualizações do Microsoft Update normalmente não precisarão executar nenhuma ação para atualizar o software Zune, pois essa atualização será baixada e instalada automaticamente.
Para dispositivos Windows Mobile 6.x
A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações sobre os links de atualização e download, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para dispositivos Zune HD
A atualização está disponível por meio do cliente Zune PC. A atualização é aplicada quando o dispositivo Zune HD está conectado ao software Zune atualizado. Para obter mais informações sobre a atualização, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Para atualizar o cliente Zune PC, os clientes podem configurar a atualização automática para verificar online se há atualizações do Microsoft Update usando o serviço Microsoft Update . Os clientes que têm a atualização automática habilitada e configurada para verificar online se há atualizações do Microsoft Update normalmente não precisarão executar nenhuma ação para atualizar o software Zune, pois essa atualização será baixada e instalada automaticamente.
Ações adicionais sugeridas
Consulte o artigo da Base de Dados de Conhecimento Microsoft associado a este comunicado
Para obter mais informações sobre esse problema, consulte o artigo 2524375 da Base de Dados de Conhecimento Microsoft.
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (23 de março de 2011): Comunicado publicado.
- V2.0 (19 de abril de 2011): Adicionados dispositivos Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune ao software e dispositivos afetados.
- V3.0 (3 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos Windows Phone 7. A atualização não está disponível para todos os clientes no momento do lançamento; consulte as Perguntas frequentes do comunicado para obter mais informações.
- V4.0 (10 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos Windows Mobile 6.x.
- V5.0 (6 de julho de 2011): Anunciado o lançamento de uma atualização para dispositivos Zune HD e movido dispositivos Zune para a tabela Dispositivos não afetados.
Construído em 2014-04-18T13:49:36Z-07:00