Aviso de Segurança da Microsoft 2641690

Certificados Digitais Fraudulentos Poderiam Permitir Falsificação (Spoofing)

Data de publicação: 10 de novembro de 2011 | Updated: 19 de janeiro de 2012

actualizada: 3.0

Informações Gerais

Resumo Executivo

A Microsoft tem conhecimento que a DigiCert Sdn. A Bhd, uma autoridade de certificação subordinada (CA) da Malásia, com a Entrust e a GTE CyberTrust, publicou 22 certificados com chaves de 512 bits pouco seguras. Estas chaves de encriptação pouco seguras, quando descodificadas, poderiam permitir que um intruso utilizasse os certificados de forma fraudulenta para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle contra todos os utilizadores de browsers da Web, incluindo utilizadores do Internet Explorer. Embora esta não seja uma vulnerabilidade num produto Microsoft, esta questão afecta todas as edições suportadas do Microsoft Windows.

A DigiCert Sdn. A Bhd não é afiliada da Corporation DigiCert, Inc., membro do Microsoft Root Certificate Program.

Não há indicações de que os certificados tenham sido publicados de forma fraudulenta. Em vez disso, as chaves criptograficamente pouco seguras permitiram que alguns dos certificados tenham sido duplicados e utilizados de forma fraudulenta.

A Microsoft está a fornecer uma actualização para todas as edições suportadas do Microsoft Windows que revoga a confiança na DigiCert Sdn. Bhd. A actualização revoga a confiança dos dois seguintes certificados intermédios de CA:

  • Digisign Server ID – (Enrich), publicado pela Entrust.net Certification Authority (2048)
  • Digisign Server ID (Enrich), publicado pela GTE CyberTrust Global Root

Recomendação. A Microsoft recomenda que os clientes apliquem imediatamente a actualização de segurança, utilizando software de gestão de actualizações ou verificando as actualizações através do serviço Microsoft Update. Consulte a secção Acções Sugeridas deste aviso para obter mais informações.

Questões conhecidas. O Artigo 2641690 da Base de Dados de Conhecimento da Microsoft documenta as questões actualmente conhecidas que os clientes podem verificar quando instalam esta actualização. O artigo também documenta soluções recomendadas para estas questões.

Detalhes do Aviso

Referências da Questão

Para mais informações sobre esta questão, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Base de Dados de Conhecimento da Microsoft 2641690

Software e Dispositivos Afectados

Este aviso abrange o seguinte software e dispositivos.

Software Afectado
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2*
Windows Server 2008 para sistemas baseados em x64 Service Pack 2*
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1*
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1

*Instalação Server Core afectada. Este aviso aplica-se às edições suportadas do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, quer a instalação tenha sido efectuada ou não utilizando a opção de instalação Server Core. Para obter mais informações sobre esta opção de instalação, consulte os artigos TechNet sobre Gestão de uma Instalação Server Core e Manutenção de uma Instalação Server Core. Tenha em atenção que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2. Consulte Comparar as Opções de Instalação Server Core.

Dispositivos Afectados
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Porque é que este aviso foi revisto a 19 de Janeiro de 2012 ?
A Microsoft reviu este aviso para anunciar a publicação de uma actualização para dispositivos com o Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5. Para obter mais informações, consulte o Artigo 2641690 da Base de Dados de Conhecimento da Microsoft.

Porque é que este aviso foi revisto a 16 de Novembro de 2011 ?
A Microsoft reviu este aviso para anunciar o relançamento da actualização KB2641690 para o Windows XP Professional x64 Edition Service Pack 2 e todas as edições suportadas do Windows Server 2003. A actualização relançada resolve uma questão indicada por clientes que utilizam os Windows Server Update Services (WSUS), onde a aplicabilidade da actualização não foi devidamente detectada.

Os clientes com o Windows XP Professional x64 Edition Service Pack 2 e todas as edições suportadas do Windows Server 2003 devem aplicar a versão relançada da actualização KB2641690 para garantirem a protecção contra o uso de certificados fraudulentos tal como descrito neste aviso. Os clientes com o Windows XP Service Pack 3 e as edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 não são afectados por este relançamento.

A maioria dos clientes tem a actualização automática activada e não necessitará de efectuar qualquer acção, porque a actualização KB2641690 relançada será transferida e instalada automaticamente.

Qual é a abrangência deste aviso?
O objectivo deste aviso é informar os clientes que a DigiCert Sdn. A Bhd publicou 22 certificados com chaves de 512 bits pouco seguras. Estas chaves pouco seguras permitiram que alguns certificados fossem comprometidos. A Microsoft revogou a confiança desta CA subordinada numa actualização que transfere dois certificados intermédios de CA para o Arquivo de Certificados Não Fidedignos da Microsoft.

O que provocou a questão?
A Microsoft foi informada pela Entrust, uma CA no Microsoft Root Certificate Program, que uma das CAs subordinadas, a DigiCert Sdn. A Bhd publicou 22 certificados com chaves de 512 bits pouco seguras. Adicionalmente, esta CA subordinada publicou certificados sem as extensões de utilização ou informações de revogação adequadas. Trata-se de uma violação dos requisitos do Microsoft Root Certificate Program.

Não há indicações de que os certificados tenham sido publicados de forma fraudulenta. Em vez disso, as chaves criptograficamente pouco seguras permitiram que alguns dos certificados tenham sido duplicados e utilizados de forma fraudulenta. A Entrust e a GTE CyberTrust revogaram os certificados intermédios de CA publicados pela DigiCert Sdn. Bhd. A Microsoft está a fornecer uma actualização que revoga a confiança destes dois certificados intermédios para proteger mais os clientes.

De que forma pode um intruso duplicar um certificado?
Uma assinatura digital só pode ser criada pela pessoa que possui a chave privada do certificado. Um intruso pode tentar adivinhar a chave privada e utilizar técnicas matemáticas para determinar se uma tentativa está correcta. A dificuldade de adivinhar com sucesso a chave privada é proporcional ao número de bits utilizados na chave. Por essa razão, quanto maior for a chave mais tempo demorará até um intruso adivinhar a chave privada. Utilizando hardware moderno, as chaves de 512 bits podem ser descobertas em pouco tempo.

De que forma pode um intruso utilizar certificados fraudulentos ?
Um intruso poderia utilizar os certificados de 512 bits para falsificar conteúdos (spoof), executar ataques de phishing ou executar ataques man-in-the-middle contra todos os utilizadores de browsers da Web, incluindo utilizadores do Internet Explorer.

O que está a Microsoft a fazer para ajudar a resolver esta questão?
Embora esta questão não tenha origem em produtos da Microsoft, a Microsoft publicou uma actualização que transfere dois certificados intermédios emitidos pela Entrust e pela GTE CyberTrust para o Arquivo de Certificados Não Fidedignos da Microsoft. A Microsoft recomenda que os clientes apliquem de imediato a actualização.

O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um intruso redirecciona a comunicação entre dois utilizadores para passar pelo computador do intruso sem o conhecimento dos dois utilizadores que comunicam entre si. Cada utilizador envolvido na comunicação envia e recebe, inadvertidamente, tráfego do intruso, acreditando sempre estar a comunicar apenas com o utilizador pretendido.

O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que emitem os certificados. Estabelecem e verificam a autenticidade das chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que pede um certificado.

Qual é o procedimento para revogar um certificado?
Há um procedimento padrão que deve permitir que uma autoridade de certificação impeça a aceitação dos certificados caso sejam utilizados. Cada emissor de um certificado gera periodicamente uma Lista de Revogação de Certificados (CRL), que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer um conjunto de dados chamado Ponto de Distribuição de CRL (CDP) que indica a localização onde a CRL pode ser obtida.

Uma forma alternativa para os browsers da Web validarem a identidade de um certificado digital é utilizando o Protocolo de Estado de Certificado Online (OCSP). O OCSP permite a validação interactiva de um certificado através da ligação a uma resposta de OCSP, alojada pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um indicador para a localização da resposta de OCSP através da extensão de Acesso a Informações sobre Autoridade (AIA) no certificado. Além disso, a associação do OCSP permite que o próprio servidor da Web forneça uma resposta de validação de OCSP ao cliente.

A validação de OCSP está activada por predefinição no Internet Explorer 7 e versões posteriores do Internet Explorer em edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nestes sistemas operativos, se a verificação de validação de OCSP falhar, o browser validará o certificado contactando a Localização de CRL.

Algumas implementações de rede podem impedir actualizações do OCSP ou da CRL online e a Microsoft lançou uma actualização para todas as versões do Microsoft Windows que adiciona estes certificados ao Arquivo de Certificados Não Fidedignos da Microsoft. Transferir estes certificados para o Arquivo de Certificados Não Fidedignos da Microsoft garante que estes certificados fraudulentos não são considerados fidedignos em todos os cenários de implementações de rede.

Para obter mais informações sobre a verificação de revogação de certificados, consulte o artigo TechNet sobre Revogação de Certificados e Verificação de Estado.

Como sei se encontrei um erro de certificado inválido?
Quando o Internet Explorer encontra um certificado inválido, é apresentada aos utilizadores uma página da Web que indica que "Existe um problema com o certificado de segurança deste Web site". Aconselha-se que os utilizadores fechem a página da Web e naveguem para fora do site quando esta mensagem de aviso aparecer.

Esta mensagem apenas é apresentada aos utilizadores quando se determina que o certificado é inválido; por exemplo, quando o utilizador tem a validação da Lista de Revogação de Certificados (CRL) ou Protocolo de Estado de Certificado Online (OCSP) activada. A validação de OCSP está activada por predefinição no Internet Explorer 7 e versões posteriores do Internet Explorer em edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Depois de aplicar a actualização, como posso verificar os certificados no Arquivo de Certificados Não Fidedignos da Microsoft?
Para informações sobre a visualização de certificados, consulte o artigo MSDN sobre Como: Ver Certificados com o Snap-in MMC.

No Snap-in MMC de Certificados, verifique se os seguintes certificados foram adicionados à pasta de Certificados Não Fidedignos:

CertificadoEmitido porThumbprint
Digisign Server ID - (Enrich)Entrust.net Certification Authority (2048)‎ 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab
Digisign Server ID (Enrich)GTE CyberTrust Global Root‎51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74

Para edições suportadas do Microsoft Windows

A maioria dos clientes tem a actualização automática activada e não necessitará de efectuar qualquer acção, porque a actualização KB2641690 será transferida e instalada automaticamente. Os clientes que não tenham a actualização automática activada necessitam de verificar as actualizações e instalar esta actualização manualmente. Para obter informações sobre opções específicas de configuração da actualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento da Microsoft.

Para administradores e instalações empresariais ou utilizadores finais que pretendam instalar manualmente a actualização KB2641690, a Microsoft recomenda que os clientes apliquem imediatamente a actualização, utilizando software de gestão de actualizações ou verificando as actualizações através do serviço Microsoft Update. Para obter mais informações sobre como aplicar a actualização manualmente, consulte o Artigo 2641690 da Base de Dados de Conhecimento da Microsoft.

Para dispositivos com o Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5

Para informações sobre a actualização para dispositivos com o Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5, consulte o Artigo 2641690 da Base de Dados de Conhecimento da Microsoft.

Outras Acções Sugeridas

  • Proteja o seu PC

    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o seu PC.

    Para obter mais informações sobre como estar seguro na Internet, visite o Centro de Segurança da Microsoft.

  • Mantenha o Software Microsoft Actualizado

    Os utilizadores de software Microsoft devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Microsoft Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as actualizações automáticas activadas e configuradas para fornecer actualizações para produtos da Microsoft, as actualizações são-lhe fornecidas quando são lançadas, mas deve verificar se estas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (10 de Novembro de 2011): Aviso publicado.
  • V2.0 (16 de Novembro de 2011): Revisto para anunciar o relançamento da actualização KB2641690. Para obter mais informações, consulte as Perguntas Mais Frequentes sobre a Actualização deste aviso. Além disso, ligação adicionada para o Artigo 2641690 da Base de Dados de Conhecimento da Microsoft, na secção Questões Conhecidas, no Resumo Executivo.
  • V3.0 (19 de Janeiro de 2012): Revisto para anunciar o lançamento de uma actualização para dispositivos com o Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: