Aviso de Segurança da Microsoft 2524375

Certificados Digitais Fraudulentos Poderiam Permitir Falsificação (Spoofing)

Data de publicação: 23 de março de 2011

actualizada: 1.0

Informações Gerais

Resumo Executivo

A Microsoft tem conhecimento de nove certificados digitais fraudulentos emitidos pela Comodo, uma autoridade de certificação presente no Armazenamento de Autoridades de Certificação de Raiz Fidedigna em todas as versões suportadas do Microsoft Windows. A Comodo informou a Microsoft em 16 de Março de 2011 que tinham sido assinados nove certificados em nome de terceiros sem uma validação suficiente da sua identidade. Estes certificados podem ser utilizados para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle contra todos os utilizadores de browsers da Web, incluindo utilizadores do Internet Explorer.

Estes certificados afectam as seguintes propriedades da Web:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 certificados)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

A Comodo revogou estes certificados, que se encontram listados na actual Lista de Revogação de Certificados (CRL) da Comodo. Além disso, os browsers que tenham activado o Protocolo de Estado de Certificado Online (OCSP) validarão interactivamente estes certificados e bloqueá-los-ão para que não sejam utilizados.

Encontra-se disponível uma actualização para todas as versões suportadas do Windows a fim de ajudar a resolver esta questão. Para obter mais informações sobre esta actualização, consulte o Artigo 2524375 da Base de Dados de Conhecimento da Microsoft.

Geralmente, não é necessária qualquer acção por parte dos clientes para instalar esta actualização, porque a maioria dos clientes tem as actualizações automáticas activadas e esta actualização será transferida e instalada automaticamente. Para obter mais informações, incluindo como instalar manualmente esta actualização, consulte a secção de Acções Sugeridas deste aviso.

Detalhes do Aviso

Referências da Questão

Para mais informações sobre esta questão, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Base de Dados de Conhecimento da Microsoft 2524375

Software Afectado e Software Não Afectado

Este aviso abrange o seguinte software.

Software Afectado
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2*
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2*
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1*
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1

*Instalação Server Core afectada. Esta actualização aplica-se, com a mesma classificação de gravidade, a edições suportadas do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quer a instalação tenha sido efectuada ou não utilizando a opção de instalação Server Core. Para mais informações sobre esta opção de instalação, consulte os artigos TechNet sobre Gestão de uma Instalação Server Core e Manutenção de uma Instalação Server Core. Tenha em atenção que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar as Opções de Instalação Server Core.

O que é criptografia?  
A criptografia é uma ciência para manter as informações em segurança através da respectiva conversão entre o seu estado legível normal (chamado texto não encriptado) e um estado em que os dados são obscurecidos (conhecido como ficheiro de encriptação).

Em todas as formas de criptografia, um valor conhecido como chave é utilizado em conjunto com um procedimento designado de algoritmo criptográfico para transformar dados de texto não encriptado em ficheiros de encriptação. No tipo de criptografia mais comum, a criptografia de chave secreta, o ficheiro de encriptação é transformado novamente em texto não encriptado utilizando a mesma chave. No entanto, num segundo tipo de criptografia, a criptografia de chave pública, é utilizada uma chave diferente para transformar o ficheiro de encriptação novamente em texto não encriptado.

O que é um certificado digital?  
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida como secreta. A outra chave, conhecida como chave pública, destina-se a ser partilhada com o mundo. No entanto, deve haver uma forma de o proprietário da chave divulgar ao mundo a quem pertence a chave. Os certificados digitais proporcionam uma forma de o fazer. Um certificado digital é um conjunto de dados inviolável que reúne uma chave pública com informações acerca da mesma - quem é o proprietário, para que pode utilizar-se, quando expira, etc.

Para que são utilizados os certificados?  
Os certificados são utilizados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou encriptar ficheiros. Normalmente, nem é preciso pensar nos certificados. Pode, no entanto, ver uma mensagem que indica que um determinado certificado expirou ou é inválido. Nesses casos, deve seguir as instruções na mensagem.

O que é uma autoridade de certificação (CA)?  
As autoridades de certificação são as organizações que emitem os certificados. Estabelecem e verificam a autenticidade das chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que pede um certificado.

O que provocou a questão?  
A Comodo, uma importante autoridade de certificação, informou a Microsoft de que tinham sido emitidos vários certificados digitais sem uma validação suficiente da respectiva identidade. Estes certificados poderiam ser utilizados para falsificar a identidade de serviços, enganando os utilizadores para que confiassem neles.

Nota A Comodo revogou estes certificados, que se encontram listados na actual Lista de Revogação de Certificados (CRL) da Comodo.

Como poderia um intruso utilizar a vulnerabilidade?  
Um intruso poderia utilizar estes certificados para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle contra todos os utilizadores de browsers da Web, incluindo utilizadores do Internet Explorer.

O que é um ataque man-in-the-middle?  
Um ataque man-in-the-middle ocorre quando um intruso redirecciona a comunicação entre dois utilizadores para passar pelo computador do intruso sem o conhecimento dos dois utilizadores que comunicam entre si. Cada utilizador envolvido na comunicação envia e recebe, inadvertidamente, tráfego do intruso, acreditando sempre estar a comunicar apenas com o utilizador pretendido.

Qual é o procedimento para revogar um certificado?  
Há um procedimento padrão que deve permitir que a Comodo impeça a aceitação destes certificados caso sejam utilizados. Cada emissor de um certificado gera periodicamente uma CRL, que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer um conjunto de dados chamado Ponto de Distribuição de CRL (CDP) que indica a localização onde a CRL pode ser obtida.

Uma forma alternativa para os browsers da Web validarem a identidade de um certificado digital é utilizando o Protocolo de Estado de Certificado Online (OCSP). O OCSP permite a validação interactiva de um certificado através da ligação a uma resposta de OCSP, alojada pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um indicador para a localização da resposta de OCSP através da extensão de Acesso a Informações sobre Autoridade (AIA) no certificado. Além disso, a associação do OCSP permite que o próprio servidor da Web forneça uma resposta de validação de OCSP ao cliente.

A validação de OCSP está activada por predefinição no Internet Explorer 7 e versões posteriores do Internet Explorer em edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nestes sistemas operativos, se a verificação de validação de OCSP falhar, o browser validará o certificado contactando a Localização de CRL.

Para obter mais informações sobre a verificação de revogação de certificados, consulte o artigo TechNet sobre Revogação de Certificados e Verificação de Estado.

O que é uma Lista de Revogação de Certificados (CRL)?  
A CRL é uma lista com assinatura digital, emitida por uma CA, que contém uma lista de certificados emitidos pela CA e posteriormente revogados pela CA. Para cada certificado individual revogado, a listagem inclui o número de série do certificado, a data em que o certificado foi revogado e o motivo da revogação. As aplicações podem executar a verificação de CRL para determinar o estado de revogação de um certificado apresentado.

O que é o Ponto de Distribuição de CRL (CDP)?  
O CDP é uma extensão de certificado que indica onde pode ser obtida a lista de revogação de certificados para uma CA. Pode conter nenhum, um ou muitos HTTP, ficheiros ou URLs de LDAP.

O que é o Protocolo de Estado de Certificado Online (OCSP)?  
O OCSP é um protocolo que permite a validação em tempo real do estado de um certificado. Geralmente, uma resposta de OCSP responde com o estado de revogação com base na CRL obtida da CA.

O que está a Microsoft a fazer para ajudar a resolver esta questão?  
Embora esta questão não resulte de qualquer problema em produtos da Microsoft, desenvolvemos uma actualização que ajudará a proteger os clientes assegurando que estes nove certificados fraudulentos são sempre tratados como não fidedignos.

Se não há qualquer questão em software da Microsoft, por que motivo é lançada uma actualização pela Microsoft?  
Mesmo quando a validação de CRL e OCSP está activada, as técnicas de validação não são suficientemente robustas para garantir que os utilizadores ficam protegidos contra a utilização maliciosa destes certificados. Quando se obtém a localização de CRL e a resposta de OCSP, as verificações de validação são altamente fiáveis e eficazes.

No entanto, quando há falhas nas verificações de revogação de certificados devido a questões de conectividade e rede, os browsers e outras aplicações de clientes, incluindo o Internet Explorer, podem ignorar estes erros e considerar o certificado fidedigno devido à falta de provas em contrário. Nestes cenários, os clientes poderão ainda ser afectados.

O que faz a actualização? 
A actualização resolve a questão colocando os nove certificados fraudulentos no arquivo local de certificados não fidedignos do Microsoft Windows.

Como sei se encontrei um erro de certificado inválido?  
Quando o Internet Explorer encontra um certificado inválido, é apresentada aos utilizadores uma página da Web que indica que "Existe um problema com o certificado de segurança deste Web site". Aconselha-se que os utilizadores fechem a página da Web e naveguem para fora do site quando esta mensagem de aviso aparecer.

Esta mensagem apenas é apresentada aos utilizadores quando se determina que o certificado é inválido; por exemplo, quando o utilizador tem a validação da Lista de Revogação de Certificados (CRL) ou Protocolo de Estado de Certificado Online (OCSP) activada. A validação de OCSP está activada por predefinição no Internet Explorer 7 e versões posteriores do Internet Explorer em edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Depois de aplicar a actualização, como posso verificar os certificados na pasta de Certificados Não Fidedignos?  
Para informações sobre a visualização de certificados, consulte o artigo MSDN sobre Como: Ver Certificados com o Snap-in MMC.

No Snap-in MMC de Certificados, verifique se os seguintes certificados foram adicionados à pasta de Certificados Não Fidedignos:

CertificadoEmitido porNúmero de série
addons.mozilla.orgUTN-USERFirst-Hardware00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
“Global Trustee”UTN-USERFirst-Hardware00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.comUTN-USERFirst-Hardware00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.comUTN-USERFirst-Hardware00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.comUTN-USERFirst-Hardware00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.comUTN-USERFirst-Hardware39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.comUTN-USERFirst-Hardware3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.comUTN-USERFirst-Hardware04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.comUTN-USERFirst-Hardware00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

Instalar a actualização

Encontra-se disponível uma actualização para ajudar a resolver esta questão.

A maioria dos clientes tem as actualizações automáticas activadas e não necessitará de efectuar qualquer acção, porque esta actualização será transferida e instalada automaticamente. Os clientes que não tenham a actualização automática activada necessitam de verificar as actualizações e instalar esta actualização manualmente. Para informações sobre opções específicas de configuração da actualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento da Microsoft.

Para administradores e instalações empresariais ou utilizadores finais que pretendam instalar esta actualização manualmente, a Microsoft recomenda que os clientes apliquem imediatamente a actualização, utilizando software de gestão de actualizações ou verificando as actualizações através do serviço Microsoft Update.

A actualização também se encontra disponível no Centro de Transferências da Microsoft; consulte o Artigo 2524375 da Base de Dados de Conhecimento da Microsoft para obter ligações de transferência.

Outras Acções Sugeridas

  • Consultar o Artigo da Base de Dados de Conhecimento da Microsoft que está associado a este aviso

    Para obter mais informações sobre esta questão, consulte o Artigo 2524375 da Base de Dados de Conhecimento da Microsoft.

  • Proteja o seu PC

    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.

    Para obter mais informações sobre como estar seguro na Internet, visite o Centro de Segurança da Microsoft.

  • Mantenha o Software Microsoft Actualizado

    Os utilizadores de software Microsoft devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Microsoft Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as actualizações automáticas activadas e configuradas para fornecer actualizações para produtos da Microsoft, as actualizações são-lhe fornecidas quando são lançadas, mas deve verificar se estas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (23 de Março de 2011): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: