Assessoria de Segurança
Comunicado de Segurança da Microsoft 2641690
Certificados digitais fraudulentos podem permitir falsificação
Publicado: terça-feira, 10 de novembro de 2011 | Atualizado: January 19, 2012
Versão: 3.0
Informações Gerais
Resumo Executivo
A Microsoft está ciente de que DigiCert Sdn. Bhd, uma autoridade de certificação (CA) subordinada da Malásia sob Entrust e GTE CyberTrust, emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves de criptografia fracas, quando quebradas, podem permitir que um invasor use os certificados de forma fraudulenta para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer. Embora esta não seja uma vulnerabilidade num produto da Microsoft, este problema afeta todas as versões suportadas do Microsoft Windows.
DigiCert Sdn. Bhd não é afiliado com a corporação DigiCert, Inc., que é um membro do Microsoft Root Certificate Program.
Não há qualquer indicação de que quaisquer certificados tenham sido emitidos de forma fraudulenta. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de forma fraudulenta.
A Microsoft está fornecendo uma atualização para todas as versões suportadas do Microsoft Windows que revoga a confiança no DigiCert Sdn. Bhd. A atualização revoga a confiança dos dois certificados de autoridade de certificação intermediários a seguir:
- Digisign Server ID - (Enrich), emitido pela Autoridade de Certificação Entrust.net (2048)
- ID do Servidor Digisign (Enrich), emitido pela GTE CyberTrust Global Root
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Problemas conhecidos.O Artigo 2641690 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.
Detalhes do Comunicado
Referências de Edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2641690 |
Software e dispositivos afetados
Este comunicado descreve os seguintes softwares e dispositivos.
| Software afetado |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edição Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2* |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2* |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* |
| Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
*Instalação Server Core afetada. Este comunicado aplica-se às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, instaladas ou não usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Managing a Server Core Installation and Servicing a Server Core Installation. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
| Dispositivos afetados |
|---|
| Windows Móvel 6.x |
| Windows Phone 7 |
| Telefone Windows 7.5 |
Perguntas Mais Frequentes
Por que este comunicado foi revisadoem 19 de janeiro de 2012? A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5. Para obter mais informações, consulte o artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Por que este comunicado foi revisado em 16 de novembro de 2011? A Microsoft revisou este comunicado para anunciar o relançamento da atualização KB2641690 para o Windows XP Professional x64 Edition Service Pack 2 e todas as edições com suporte do Windows Server 2003. A atualização relançada resolve um problema observado pelos clientes que usam o WSUS (Windows Server Update Services), em que a aplicabilidade da atualização não foi detetada corretamente.
Os clientes do Windows XP Professional x64 Edition Service Pack 2 e de todas as edições com suporte do Windows Server 2003 devem aplicar a versão relançada da atualização KB2641690 para estarem protegidos contra o uso de certificados fraudulentos, conforme descrito neste comunicado. Os clientes do Windows XP Service Pack 3 e das edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 não são afetados por este relançamento.
A maioria dos clientes tem a atualização automática habilitada e não precisará fazer nada porque a atualização KB2641690 relançada será baixada e instalada automaticamente.
Qual é o âmbito do aconselhamento? O objetivo deste comunicado é notificar os clientes que DigiCert Sdn. Bhd emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves fracas permitiram que alguns dos certificados fossem comprometidos. A Microsoft revogou a confiança dessa autoridade de certificação subordinada em uma atualização que move dois certificados de autoridade de certificação intermediários para o Microsoft Untrusted Certificate Store.
O que causou o problema? A Microsoft foi notificada pela Entrust, uma autoridade de certificação no Microsoft Root Certificate Program, que uma de suas autoridades de certificação subordinadas, DigiCert Sdn. Bhd, emitiu 22 certificados com chaves fracas de 512 bits. Além disso, essa autoridade de certificação subordinada emitiu certificados sem as extensões de uso apropriadas ou informações de revogação. Esta é uma violação dos requisitos do Microsoft Root Certificate Program.
Não há qualquer indicação de que quaisquer certificados tenham sido emitidos de forma fraudulenta. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de forma fraudulenta. A Entrust e a GTE CyberTrust revogaram os certificados de CA intermediários emitidos para a DigiCert Sdn. Bhd. A Microsoft está fornecendo uma atualização que revoga a confiança desses dois certificados intermediários para proteger ainda mais os clientes.
Como um invasor pode duplicar um certificado? Uma assinatura digital só pode ser criada pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de adivinhar com sucesso a chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo um invasor leva para adivinhar a chave privada. Usando hardware moderno, as chaves de 512 bits podem ser adivinhadas com sucesso em um curto período de tempo.
Comoum invasor pode usar certificados fraudulentos? Um invasor pode usar os certificados de 512 bits para falsificar conteúdo, executar ataques de phishing ou executar ataques man-in-the-middle contra todos os usuários do navegador da Web, incluindo os usuários do Internet Explorer.
O que a Microsoft está fazendo para ajudar a resolver esse problema? Embora esse problema não resulte de um problema em nenhum produto da Microsoft, lançamos uma atualização que move dois certificados intermediários emitidos pela Entrust e GTE CyberTrust para o Microsoft Untrusted Certificate Store. A Microsoft recomenda que os clientes apliquem a atualização imediatamente.
O que é um ataque man-in-the-middle? Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia tráfego e recebe tráfego do invasor, sempre pensando que está se comunicando apenas com o usuário pretendido.
O que é uma autoridade de certificação (AC)? As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação, e verificam a identidade de uma pessoa ou organização que solicita um certificado.
Qual é o procedimento para revogar uma certidão? Existe um procedimento padrão que deve permitir que uma autoridade de certificação impeça que os certificados sejam aceitos se forem usados. Cada emissor de certificados gera periodicamente uma Lista de Certificados Revogados (CRL), que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer uma parte dos dados chamada CDP (Ponto de Distribuição da CRL) que indica o local onde a CRL pode ser obtida.
Uma maneira alternativa para os navegadores da Web validarem a identidade de um certificado digital é usando o OCSP (Online Certificate Status Protocol). O OCSP permite a validação interativa de um certificado conectando-se a um respondente OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um ponteiro para o local do respondente OCSP por meio da extensão de Acesso à Informação da Autoridade (AIA) no certificado. Além disso, o grampeamento OCSP permite que o próprio servidor Web forneça uma resposta de validação OCSP ao cliente.
A validação OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação do OCSP falhar, o navegador validará o certificado entrando em contato com o local da CRL.
Algumas implantações de rede podem impedir atualizações online de OCSP ou CRL, portanto, a Microsoft lançou uma atualização para todas as versões do Microsoft Windows que adiciona esses certificados ao Repositório de Certificados Não Confiáveis da Microsoft. Mover esses certificados para o Repositório de Certificados Não Confiáveis da Microsoft garante que esses certificados fraudulentos não sejam confiáveis em todos os cenários de implantação de rede.
Para obter mais informações sobre a verificação de revogação de certificados, consulte o artigo do TechNet, Certificate Revocation and Status Checking.
Como posso saber se encontrei um erro de certificado inválido? Quando o Internet Explorer encontra um certificado inválido, os usuários recebem uma página da Web que diz: "Há um problema com o certificado de segurança deste site". Os utilizadores são encorajados a fechar a página Web e navegar para fora do site quando esta mensagem de aviso aparece.
Esta mensagem só é apresentada aos utilizadores quando o certificado é considerado inválido, por exemplo, quando o utilizador tem a validação da Lista de Certificados Revogados (CRL) ou do Protocolo de Estado de Certificado Online (OCSP) ativada. A validação OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Depois de aplicar a atualização, como posso verificar os certificados no Microsoft Untrusted Certificates Store? Para obter informações sobre como exibir certificados, consulte o artigo do MSDN, How to: View Certificates with the MMC Snap-in.
No snap-in Certificados MMC, verifique se os seguintes certificados foram adicionados à pasta Certificados Não Confiáveis:
| Certificado | Emitido por | Thumbprint |
|---|---|---|
| ID do Servidor Digisign - (Enriquecimento) | Entrust.net Autoridade de Certificação (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| ID do Servidor Digisign (Enrich) | GTE CyberTrust Raiz Global | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Ações Sugeridas
Para versões suportadas do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará fazer nada porque a atualização KB2641690 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas ou usuários finais que desejam instalar a atualização KB2641690 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5
Para obter informações sobre a atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5, consulte o artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja o seu PC
Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Manter o software Microsoft atualizado
Os utilizadores que executam software Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Microsoft Update, verifique o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos da Microsoft, as atualizações serão entregues quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras informações
Programa Microsoft Ative Protections (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros de programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).
Comentários
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de Responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de novembro de 2011): Comunicado publicado.
- V2.0 (16 de novembro de 2011): Revisado para anunciar o relançamento da atualização KB2641690. Consulte as Perguntas frequentes de atualização neste comunicado para obter mais informações. Além disso, foi adicionado link para o artigo 2641690 da Base de Dados de Conhecimento Microsoft em Problemas conhecidos na Sinopse.
- V3.0 (19 de janeiro de 2012): Revisado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5.
Construído em 2014-04-18T13:49:36Z-07:00