Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los certificados digitales emitidos incorrectamente podrían permitir la suplantación de identidad
Publicado: 10 de julio de 2014 | Actualizado: 17 de julio de 2014
Versión: 2.0
Información general
Resumen ejecutivo
Microsoft conoce certificados SSL emitidos incorrectamente que se pueden usar en intentos de suplantar contenido, realizar ataques de suplantación de identidad o realizar ataques de tipo man in the middle. Los certificados SSL fueron emitidos incorrectamente por el Centro Nacional de Informática (NIC), que opera las CA subordinadas bajo ca raíz operadas por el Gobierno de la India Controller of Certifying Authorities (CCA), que son CA presentes en el Almacén de entidades de certificación raíz de confianza. Este problema afecta a todas las versiones admitidas de Microsoft Windows. Microsoft no conoce actualmente los ataques relacionados con este problema.
La ENTIDAD de certificación subordinada se ha usado incorrectamente para emitir certificados SSL para varios sitios, incluidas las propiedades web de Google. Estos certificados SSL se pueden usar para suplantar contenido, realizar ataques de suplantación de identidad o realizar ataques de tipo "man in the middle" en las propiedades web. Es posible que las CA subordinadas también se hayan usado para emitir certificados para otros sitios actualmente desconocidos, que podrían estar sujetos a ataques similares.
Para ayudar a proteger a los clientes del uso potencialmente fraudulento de este certificado digital, Microsoft está actualizando la lista de confianza de certificados (CTL) para todas las versiones compatibles de Microsoft Windows para quitar la confianza de los certificados que están causando este problema. Para obtener más información sobre estos certificados, consulte la sección Preguntas más frecuentes de este aviso.
Recomendación. Un actualizador automático de certificados revocados se incluye en las ediciones compatibles de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, y para dispositivos que ejecutan Windows Teléfono 8 o Windows Teléfono 8.1. Para estos sistemas operativos o dispositivos, los clientes no necesitan realizar ninguna acción porque el CTL se actualizará automáticamente.
En el caso de los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (consulte el artículo de Microsoft Knowledge Base 2677070 para obtener más información), los clientes no necesitan realizar ninguna acción porque el CTL se actualizará automáticamente.
En el caso de los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, y que no tienen instalado el actualizador automático de certificados revocados, esta actualización no está disponible. Para recibir esta actualización, los clientes deben instalar el actualizador automático de certificados revocados (consulte el artículo de Microsoft Knowledge Base 2677070 para obtener más información). Los clientes de entornos desconectados y que ejecutan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 pueden instalar la actualización 2813430 para recibir esta actualización (consulte el artículo de Microsoft Knowledge Base 2813430 para obtener más información).
Para los clientes que ejecutan Windows Server 2003, Microsoft recomienda que la actualización de 2982792 se aplique inmediatamente mediante el software de administración de actualizaciones, comprobando si hay actualizaciones mediante el servicio Microsoft Update o descargando y aplicando la actualización manualmente. Para obtener más información, consulte la sección Acciones sugeridas de este aviso.
Detalles de asesoramiento
Referencias a problemas
Para obtener más información sobre este problema, consulte las referencias siguientes:
| Referencias | Identificación |
|---|---|
| Artículo de Microsoft Knowledge Base | 2982792 |
Software afectado
Este aviso describe el siguiente software.
| Software afectado |
|---|
| Sistema operativo |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 para sistemas basados en Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas basados en x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 |
| Windows 8 para sistemas de 32 bits |
| Windows 8 para sistemas basados en x64 |
| Windows 8.1 para sistemas de 32 bits |
| Windows 8.1 para sistemas basados en x64 |
| Windows RT |
| Windows RT 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Opción de instalación Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core) |
| Windows Server 2008 R2 para sistemas basados en x64 (instalación Server Core) |
| Windows Server 2012 (instalación de Server Core) |
| Windows Server 2012 R2 (instalación de Server Core) |
| Dispositivos afectados |
| Windows Phone 8 |
| Windows Phone 8.1 |
Preguntas más frecuentes sobre asesoramiento
¿Por qué se actualizó este aviso el 17 de julio de 2014?
El aviso se actualizó el 17 de julio de 2014 para anunciar la disponibilidad de la actualización 2982792 para las ediciones compatibles de Windows Server 2003. Para obtener más información, consulte la sección Acciones sugeridas de este aviso.
¿Cuál es el ámbito del aviso?
El propósito de este aviso es notificar a los clientes que el Centro Nacional de Informática (NIC) emitió incorrectamente certificados SSL para varios sitios, incluidas las propiedades web de Google. Estos certificados SSL se pueden usar para suplantar contenido, realizar ataques de suplantación de identidad o realizar ataques de tipo "man in the middle" en las propiedades web. La ENTIDAD de certificación subordinada también se puede haber usado para emitir certificados para otros sitios actualmente desconocidos, que podrían estar sujetos a ataques similares.
¿Qué causó el problema?
Un certificado de CA subordinado fue emitido incorrectamente por el Centro Nacional de Informática (NIC), subordinado al Gobierno de la Ca de la India, que es una CA presente en el Almacén de Entidades de certificación raíz de confianza.
¿Esta actualización direcciona cualquier otro certificado digital?
Sí, además de abordar los certificados descritos en este aviso, esta actualización es acumulativa e incluye certificados digitales descritos en avisos anteriores:
- 2524375 de aviso de seguridad de Microsoft
- 2607712 de aviso de seguridad de Microsoft
- 2641690 de aviso de seguridad de Microsoft
- 2718704 de aviso de seguridad de Microsoft
- 2728973 de aviso de seguridad de Microsoft
- 2798897 de aviso de seguridad de Microsoft
- 2961552 de aviso de seguridad de Microsoft
¿Qué es la criptografía?
La criptografía es la ciencia de proteger la información al convertirlo entre su estado normal y legible (denominado texto no cifrado) y otro en el que los datos están ocultos (conocidos como texto cifrado).
En todas las formas de criptografía, se usa un valor conocido como clave junto con un procedimiento denominado algoritmo criptográfico para transformar los datos de texto no cifrado en texto cifrado. En el tipo más conocido de criptografía, criptografía de clave secreta, el texto cifrado se transforma de nuevo en texto sin formato mediante la misma clave. Sin embargo, en un segundo tipo de criptografía, criptografía de clave pública, se usa una clave diferente para transformar el texto cifrado en texto no cifrado.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, conocida como clave privada, debe mantenerse secreta. La otra clave, conocida como clave pública, está pensada para compartirse con el mundo. Sin embargo, debe haber una manera de que el propietario de la clave indique al mundo al que pertenece la clave. Los certificados digitales proporcionan una manera de hacerlo. Un certificado digital es un fragmento de datos insonorizado que empaqueta una clave pública junto con información sobre él (quién lo posee, qué se puede usar para, cuándo expira, etc.).
¿Para qué se usan los certificados?
Los certificados se usan principalmente para comprobar la identidad de una persona o dispositivo, autenticar un servicio o cifrar archivos. Normalmente no tendrá que pensar en los certificados. Sin embargo, puede ver un mensaje que le indica que un certificado ha expirado o no es válido. En esos casos, debe seguir las instrucciones del mensaje.
¿Qué es una entidad de certificación (CA)?
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas u otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.
¿Qué es una lista de confianza de certificados (CTL)?
Debe existir una confianza entre el destinatario de un mensaje firmado y el firmante del mensaje. Un método para establecer esta confianza es a través de un certificado, un documento electrónico que comprueba que las entidades o personas son las que reclaman ser. Un certificado se emite a una entidad por un tercero de confianza para ambas partes. Por lo tanto, cada destinatario de un mensaje firmado decide si el emisor del certificado del firmante es de confianza. CryptoAPI ha implementado una metodología para permitir que los desarrolladores de aplicaciones creen aplicaciones que comprueben automáticamente los certificados en una lista predefinida de certificados o raíces de confianza. Esta lista de entidades de confianza (denominadas sujetos) se denomina lista de confianza de certificados (CTL). Para obtener más información, consulte el artículo de MSDN, Comprobación de confianza de certificados.
¿Qué podría hacer un atacante con estos certificados?
Un atacante podría usar estos certificados para suplantar contenido, realizar ataques de suplantación de identidad o realizar ataques de tipo "man in the middle" en las siguientes propiedades web:
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
¿Qué es un ataque de tipo man in the middle?
Un ataque de tipo "man in the middle" se produce cuando un atacante vuelve a enrutar la comunicación entre dos usuarios a través del equipo del atacante sin tener conocimiento de los dos usuarios que se comunican. Cada usuario de la comunicación envía sin saberlo y recibe tráfico del atacante, todo mientras piensa que solo se comunica con el usuario deseado.
¿Qué hace Microsoft para ayudar a resolver este problema?
Aunque este problema no resulta de un problema en ningún producto de Microsoft, estamos actualizando el CTL y proporcionando una actualización para ayudar a proteger a los clientes. Microsoft seguirá investigando este problema y puede realizar cambios futuros en el CTL o publicar una actualización futura para ayudar a proteger a los clientes.
Después de aplicar la actualización, ¿cómo puedo comprobar los certificados en el Almacén de certificados que no son de confianza de Microsoft?
Para Windows Vista, Windows 7, Los sistemas Windows Server 2008 y Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (consulte el artículo de Microsoft Knowledge Base 2677070 para obtener más información) y para windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, puede comprobar el registro de la aplicación en el Visor de eventos para obtener una entrada con los valores siguientes:
- Origen: CAPI2
- Nivel: Información
- Identificador de evento: 4112
- Descripción: actualización automática correcta de la lista de certificados no permitidos con fecha efectiva: jueves, 3 de julio de 2014 (o posterior).
En el caso de los sistemas que no usan el actualizador automático de certificados revocados, en el complemento Certificados MMC, compruebe que el certificado siguiente se ha agregado a la carpeta Certificados que no son de confianza:
| Certificate | Emitido por | Huella digital |
|---|---|---|
| Entidad de certificación de NIC | CCA India 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| NIC CA 2011 | CCA India 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| NIC CA 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
Nota Para obtener información sobre cómo ver certificados con el complemento MMC, consulte el artículo de MSDN How to: View Certificates with the MMC Snap-in.
Acciones sugeridas
Aplicación de la actualización para las versiones admitidas de Microsoft Windows
Un actualizador automático de certificados revocados se incluye en las ediciones compatibles de Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, y para dispositivos que ejecutan Windows Teléfono 8 o Windows Teléfono 8.1. Para estos sistemas operativos o dispositivos, los clientes no necesitan realizar ninguna acción porque el CTL se actualizará automáticamente.
En el caso de los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que usan el actualizador automático de certificados revocados (consulte el artículo de Microsoft Knowledge Base 2677070 para obtener más información), los clientes no necesitan realizar ninguna acción porque el CTL se actualizará automáticamente.
En el caso de los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2, y que no tienen instalado el actualizador automático de certificados revocados, esta actualización no está disponible. Para recibir esta actualización, los clientes deben instalar el actualizador automático de certificados revocados (consulte el artículo de Microsoft Knowledge Base 2677070 para obtener más información). Los clientes de entornos desconectados y que ejecutan Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 pueden instalar la actualización 2813430 para recibir esta actualización (consulte el artículo de Microsoft Knowledge Base 2813430 para obtener más información).
Para los clientes que ejecutan Windows Server 2003, Microsoft recomienda que la actualización de 2982792 se aplique inmediatamente mediante el software de administración de actualizaciones, comprobando si hay actualizaciones mediante el servicio Microsoft Update o descargando y aplicando la actualización manualmente. Consulte el artículo de Microsoft Knowledge Base 2982792 para obtener vínculos de descarga.
Acciones sugeridas adicionales
Proteger su PC
Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.
Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.
Agradecimientos
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- Adam Langley y el equipo de seguridad de Google Chrome para llamar la atención del incidente y trabajar con nosotros en la respuesta
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (10 de julio de 2014): Aviso publicado.
- V2.0 (17 de julio de 2014): aviso revisado para anunciar la disponibilidad de las actualizaciones 2982792 para las ediciones compatibles de Windows Server 2003. Para obtener más información, consulte la sección Acciones sugeridas de este aviso.
Página generada 2014-07-31 13:34Z-07:00.