Consultoria de Segurança
Comunicado de Segurança da Microsoft 2641690
Certificados digitais fraudulentos podem permitir falsificação
Publicado: terça-feira, 10 de novembro de 2011 | Atualizado: January 19, 2012
Versão: 3.0
Informações Gerais
Resumo executivo
A Microsoft está ciente de que o DigiCert Sdn. Bhd, uma autoridade de certificação (CA) subordinada da Malásia sob Entrust e GTE CyberTrust, emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves de criptografia fracas, quando quebradas, podem permitir que um invasor use os certificados de forma fraudulenta para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer. Embora esta não seja uma vulnerabilidade em um produto da Microsoft, esse problema afeta todas as versões com suporte do Microsoft Windows.
DigiCert Sdn. Bhd não é afiliado com a corporação DigiCert, Inc., que é um membro do Microsoft Root Certificate Program.
Não há indícios de que os certificados tenham sido emitidos de forma fraudulenta. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de maneira fraudulenta.
A Microsoft está fornecendo uma atualização para todas as versões com suporte do Microsoft Windows que revoga a confiança no DigiCert Sdn. Bhd. A atualização revoga a confiança dos dois certificados de autoridade de certificação intermediários a seguir:
- ID do Servidor Digisign - (Enrich), emitido pela Autoridade de Certificação Entrust.net (2048)
- Digisign Server ID (Enrich), emitido pela GTE CyberTrust Global Root
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Problemas conhecidos.O Artigo 2641690 Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta soluções recomendadas para esses problemas.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2641690 |
Software e dispositivos afetados
Este comunicado aborda os seguintes softwares e dispositivos.
| Softwares afetados |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edição Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2* |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2* |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1* |
| Windows Server 2008 R2 para sistemas baseados no Itanium e Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1 |
*Instalação Server Core afetada. Este comunicado aplica-se às edições com suporte do Windows Server 2008 ou Windows Server 2008 R2, conforme indicado, independentemente de serem ou não instaladas usando a opção de instalação Server Core. Para obter mais informações sobre essa opção de instalação, consulte os artigos do TechNet, Gerenciando uma instalação Server Core e Manutenção de uma instalação Server Core. Observe que a opção de instalação Server Core não se aplica a determinadas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação Server Core.
| Dispositivos afetados |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Perguntas frequentes
Por que este comunicado foi revisadoem 19 de janeiro de 2012? A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5. Para obter mais informações, consulte o artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Por que este comunicado foi revisado em 16 de novembro de 2011? A Microsoft revisou este comunicado para anunciar o relançamento da atualização KB2641690 para o Windows XP Professional x64 Edition Service Pack 2 e todas as edições com suporte do Windows Server 2003. A atualização relançada resolve um problema observado pelos clientes que usam o Windows Server Update Services (WSUS), em que a aplicabilidade da atualização não foi detectada corretamente.
Os clientes do Windows XP Professional x64 Edition Service Pack 2 e de todas as edições com suporte do Windows Server 2003 devem aplicar a versão relançada da atualização KB2641690 para se proteger contra o uso de certificados fraudulentos, conforme descrito neste comunicado. Os clientes do Windows XP Service Pack 3 e das edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 não são afetados por este relançamento.
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização de KB2641690 relançada será baixada e instalada automaticamente.
Qual o escopo da assessoria? O objetivo deste comunicado é notificar os clientes que DigiCert Sdn. Bhd emitiu 22 certificados com chaves fracas de 512 bits. Essas chaves fracas permitiram que alguns dos certificados fossem comprometidos. A Microsoft revogou a confiança dessa autoridade de certificação subordinada em uma atualização que move dois certificados de autoridade de certificação intermediários para o armazenamento de certificados não confiáveis da Microsoft.
O que causou o problema? A Microsoft foi notificada pela Entrust, uma autoridade de certificação no Microsoft Root Certificate Program, que uma de suas CAs subordinadas, DigiCert Sdn. Bhd, emitiu 22 certificados com chaves fracas de 512 bits. Além disso, essa autoridade de certificação subordinada emitiu certificados sem as extensões de uso apropriadas ou informações de revogação. Esta é uma violação dos requisitos do Microsoft Root Certificate Program.
Não há indícios de que os certificados tenham sido emitidos de forma fraudulenta. Em vez disso, chaves criptograficamente fracas permitiram que alguns dos certificados fossem duplicados e usados de maneira fraudulenta. A Entrust e a GTE CyberTrust revogaram os certificados CA intermediários emitidos para a DigiCert Sdn. Bhd. A Microsoft está fornecendo uma atualização que revoga a confiança desses dois certificados intermediários para proteger ainda mais os clientes.
Como um invasor pode duplicar um certificado? Uma assinatura digital só pode ser criada pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de adivinhar com êxito a chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo um invasor leva para adivinhar a chave privada. Usando hardware moderno, as chaves de 512 bits podem ser adivinhadas com sucesso em um curto período de tempo.
Comoum invasor pode usar certificados fraudulentos? Um invasor pode usar os certificados de 512 bits para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários do navegador da Web, incluindo usuários do Internet Explorer.
O que a Microsoft está fazendo para ajudar a resolver esse problema? Embora esse problema não resulte de um problema em nenhum produto da Microsoft, lançamos uma atualização que move dois certificados intermediários emitidos pelo Entrust e GTE CyberTrust para o Microsoft Untrusted Certificate Store. A Microsoft recomenda que os clientes apliquem a atualização imediatamente.
O que é um ataque man-in-the-middle? Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
O que é uma autoridade de certificação (AC)? As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.
Qual é o procedimento para revogar um certificado? Há um procedimento padrão que deve permitir que uma autoridade de certificação impeça que certificados sejam aceitos se forem usados. Cada emissor de certificado gera periodicamente uma CRL (Lista de Certificados Revogados), que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer uma parte de dados chamada CDP (Ponto de Distribuição de CRL) que indica o local onde a CRL pode ser obtida.
Uma maneira alternativa para os navegadores da Web validarem a identidade de um certificado digital é usando o OCSP (Online Certificate Status Protocol). O OCSP permite a validação interativa de um certificado conectando-se a um respondente OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer um ponteiro para o local do respondente OCSP por meio da extensão Authority Information Access (AIA) no certificado. Além disso, o grampeamento OCSP permite que o próprio servidor Web forneça uma resposta de validação OCSP ao cliente.
A validação OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação OCSP falhar, o navegador validará o certificado entrando em contato com o Local da CRL.
Algumas implantações de rede podem impedir atualizações de OCSP ou CRL online, portanto, a Microsoft lançou uma atualização para todas as versões do Microsoft Windows que adiciona esses certificados ao Repositório de Certificados Não Confiáveis da Microsoft. Mover esses certificados para o Repositório de Certificados Não Confiáveis da Microsoft garante que esses certificados fraudulentos não sejam confiáveis em todos os cenários de implantação de rede.
Para obter mais informações sobre a verificação de revogação de certificado, consulte o artigo do TechNet, Revogação de certificado e verificação de status.
Como saber se encontrei um erro de certificado inválido? Quando o Internet Explorer encontra um certificado inválido, os usuários recebem uma página da Web que diz: "Há um problema com o certificado de segurança deste site". Os usuários são incentivados a fechar a página da Web e navegar para fora do site quando essa mensagem de aviso for exibida.
Essa mensagem só é apresentada aos usuários quando o certificado é considerado inválido, por exemplo, quando o usuário tem a validação da CRL (Lista de Certificados Revogados) ou do OCSP (Online Certificate Status Protocol) habilitada. A validação OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Depois de aplicar a atualização, como posso verificar os certificados no Repositório de Certificados Não Confiáveis da Microsoft? Para obter informações sobre como exibir certificados, consulte o artigo do MSDN, Como: Exibir certificados com o snap-in do MMC.
No snap-in MMC de certificados, verifique se os seguintes certificados foram adicionados à pasta Certificados não confiáveis:
| Certificado | Emitido por | Impressão Digital |
|---|---|---|
| ID do Servidor Digisign - (Enrich) | Autoridade de certificação raiz da Entrust (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| ID do Servidor Digisign (Enrich) | GTE CyberTrust Raiz Global | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Ações sugeridas
Para versões suportadas do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização KB2641690 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização KB2641690 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5
Para obter informações sobre a atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5, consulte o Artigo 2641690 da Base de Dados de Conhecimento Microsoft.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de novembro de 2011): Comunicado publicado.
- V2.0 (16 de novembro de 2011): Revisado para anunciar o relançamento da atualização KB2641690. Consulte as Perguntas frequentes sobre atualização neste comunicado para obter mais informações. Além disso, foi adicionado link para o Artigo 2641690 da Base de Dados de Conhecimento Microsoft em Problemas conhecidos no Sumário Executivo.
- V3.0 (19 de janeiro de 2012): Revisado para anunciar o lançamento de uma atualização para dispositivos Windows Mobile 6.x, Windows Phone 7 e Windows Phone 7.5.
Construído em 2014-04-18T13:49:36Z-07:00