Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los certificados digitales fraudulentos podrían permitir la suplantación de identidad
Publicado: jueves, 3 de enero de 2013 | Actualizado: lunes, 14 de enero de 2013
Versión: 1.1
Información general
Resumen ejecutivo
Microsoft tiene constancia de ataques activos con un certificado digital fraudulento emitido por TURKTRUST Inc., que es una CA que se encuentra en el almacén de entidades de certificación raíz de confianza. Este certificado fraudulento se puede usar para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo "Man in the middle". Este problema afecta a todas las versiones compatibles de Microsoft Windows.
TURKTRUST Inc. creó incorrectamente dos CA subsidiarias (*.EGO.GOV.TR y e-islem.kktcmerkezbankasi.org). La CA subsidiaria *.EGO.GOV.TR se usó para emitir un certificado digital fraudulento para *.google.com. Este certificado fraudulento se puede usar para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo "Man in the middle" contra varias propiedades web de Google.
Para proteger a los clientes del uso fraudulento de este certificado digital, Microsoft va a actualizar la lista de confianza de certificados (CTL) y va a proporcionar una actualización para todas las ediciones compatibles de Microsoft Windows que quita la confianza de los certificados que provocan este problema. Para obtener más información acerca de estos certificados, vea la sección Preguntas más frecuentes de este documento informativo.
Recomendación. Para los sistemas que usan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles), incluido Windows 8, Windows RT, Windows Server 2012 y los dispositivos con Windows Phone 8, no es necesario realizar ninguna acción, ya que estos sistemas se protegerán automáticamente.
Para los clientes de Windows XP y Windows Server 2003 o los clientes que decidan no instalar el actualizador automático de certificados revocados, Microsoft recomienda que se aplique la actualización 2798897 inmediatamente con el software de administración de actualizaciones, buscando actualizaciones del servicio Microsoft Update o descargando y aplicando la actualización manualmente. Para obtener más información, vea la sección Acciones recomendadas de este documento informativo.
Detalles del documento informativo
Referencias del problema
Para obtener más información acerca de este problema, consulte las siguientes referencias:
| Referencias | Identificación |
|---|---|
| Artículo de Microsoft Knowledge Base | 2798897 |
Software y dispositivos afectados
Este documento informativo trata sobre el software y los dispositivos siguientes.
| Software afectado |
|---|
| Sistema operativo |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 para sistemas con Itanium |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas x64 Service Pack 2 |
| Windows Server 2008 para sistemas con Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas x64 |
| Windows 7 para sistemas x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas x64 |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas con Itanium |
| Windows Server 2008 R2 para sistemas con Itanium Service Pack 1 |
| Windows 8 |
| Windows Server 2012 |
| Windows RT |
| Opción de instalación Server Core |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) |
| Windows Server 2008 para sistemas x64 Service Pack 2 (instalación Server Core) |
| Windows Server 2008 R2 para sistemas x64 (instalación Server Core) |
| Windows Server 2008 R2 para sistemas x64 Service Pack 1 (instalación Server Core) |
| Windows Server 2012 (instalación Server Core) |
| Dispositivos afectados |
| Windows Phone 8 |
| Dispositivos no afectados |
|---|
| Windows Phone 7 |
| Windows Phone 7.5 |
| Windows Phone 7.8 |
Preguntas frecuentes
¿Cuál es el alcance de este documento informativo?
El propósito de este documento informativo es notificar a los clientes que Microsoft ha confirmado que un certificado digital fraudulento se ha usado en ataques activos que afectan a varias propiedades web de Google. Se ha quitado la confianza de este certificado y de otros dos, y se han agregado a la CTL. Para los sistemas que usan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener detalles), incluido Windows 8, Windows RT y Windows Server 2012, no es necesario realizar ninguna acción, ya que estos sistemas se protegerán automáticamente.
Para los clientes de Windows XP y Windows Server 2003, para los clientes que no han instalado el artículo 2677070 de Microsoft Knowledge Base o para cualquier sistema desconectado que no se pueda conectar a Microsoft Update, hay disponible una actualización para todas las ediciones compatibles de Microsoft Windows que corrige el problema.
¿Cuál es la causa del problema?
Microsoft ha tenido constancia de ataques activos con un certificado digital fraudulento emitido por TURKTRUST Inc., que es una CA que se encuentra en el almacén de entidades de certificación raíz de confianza. TURKTRUST Inc. creó incorrectamente dos CA subsidiarias (*.EGO.GOV.TR y e-islem.kktcmerkezbankasi.org). *.EGO.GOV.TR se usó para emitir un certificado digital fraudulento para *.google.com. Este certificado fraudulento se puede usar para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo "Man in the middle" contra varias propiedades web de Google.
Durante la investigación, se identificó que los certificados de *.EGO.GOV.TR y e-islem.kktcmerkezbankasi.org se emitieron incorrectamente, ya que carecían de las extensiones CRL u OCSP, y se emitieron incorrectamente como certificados de entidad final. Por lo tanto, como medida preventiva, también vamos a revocar la confianza de estos certificados.
¿Esta actualización corrige otros certificados digitales?
Sí, además de corregir los certificados descritos en este documento informativo, esta actualización es acumulativa e incluye los certificados digitales descritos en los documentos informativos anteriores: Documento informativo sobre seguridad de Microsoft 2524375, Documento informativo sobre seguridad de Microsoft 2607712, Documento informativo sobre seguridad de Microsoft 2641690, Documento informativo sobre seguridad de Microsoft 2718704 y Documento informativo sobre seguridad de Microsoft 2728973.
¿Qué es la criptografía?
La criptografía es la ciencia de proteger la información mediante su conversión entre su estado normal y legible (texto no cifrado) y otro en el que el texto se oculta (texto cifrado).
En todas las formas de criptografía, un valor denominado clave se usa conjuntamente con un procedimiento denominado algoritmo de criptografía para transformar el texto no cifrado en texto cifrado. En el tipo de criptografía más conocido, la criptografía de clave secreta, el texto cifrado se transforma en texto cifrado mediante la misma clave. No obstante, en un segundo tipo de criptografía, la criptografía de clave pública, se usa una clave distinta para transformar el texto cifrado en texto no cifrado.
¿Qué es un certificado digital?
En la criptografía de clave pública, una de las claves, denominada la clave privada, se debe mantener en secreto. La otra clave, denominada la clave pública, está diseñada para compartirla con los demás usuarios. No obstante, debe existir una forma para que el propietario de la clave comunique a los demás usuarios a quién pertenece la clave. Los certificados digitales ofrecen una forma de realizar esta operación. Un certificado digital es un elemento de datos a prueba de modificaciones que empaqueta una clave pública junto con información acerca de ella (de quién es, para qué se puede usar, cuándo expira, etc.).
¿Para qué se usan los certificados?
Los certificados se usan principalmente para comprobar la identidad de una persona o disponible, autenticar un servicio o cifrar archivos. El usuario normalmente no piensa en los certificados. No obstante, es posible que aparezca un mensaje en el que se indica que un certificado ha expirado o no es válido. En estos casos, se deben seguir las instrucciones del mensaje.
¿Qué es una entidad de certificación?
Las entidades de certificación son las organizaciones que emiten certificados. Establecen y comprueban la autenticidad de las claves públicas que pertenecen a personas o a otras entidades de certificación, y comprueban la identidad de una persona u organización que solicita un certificado.
¿Qué es una lista de certificados de confianza (CTL)?
Debe existir confianza entre el destinatario de un mensaje firmado y el firmante del mensaje. Un método de establecer esta confianza es a través de un certificado, un documento electrónico que comprueba que las entidades o las personas son quienes declaran ser. Un tercero, que es de confianza de ambas partes, emite el certificado para una entidad. De este modo, cada destinatario de un mensaje firmado decide si el emisor del certificado del firmante es de confianza. CryptoAPI ha implementado una metodología para permitir que los desarrolladores creen aplicaciones que comprueben automáticamente los certificados con una lista predefinida de certificados o raíces de confianza. Esta lista de entidades de confianza (denominadas sujetos) se conoce como una lista de confianza de certificados (CTL). Para obtener más información, vea el artículo de MSDN Comprobación de la confianza de los certificados.
¿Qué podría hacer un atacante con estos certificados?
Un atacante puede usar estos certificados para suplantar contenido, llevar a cabo ataques de suplantación de identidad (phishing) o realizar ataques de tipo "Man in the middle" contra las siguientes propiedades web:
- *.google.com
- *.android.com
- *.appengine.google.com
- *.cloud.google.com
- *.google-analytics.com
- *.google.ca
- *.google.cl
- *.google.co.in
- *.google.co.jp
- *.google.co.uk
- *.google.com.ar
- *.google.com.au
- *.google.com.br
- *.google.com.co
- *.google.com.mx
- *.google.com.tr
- *.google.com.vn
- *.google.de
- *.google.es
- *.google.fr
- *.google.hu
- *.google.it
- *.google.nl
- *.google.pl
- *.google.pt
- *.googleapis.cn
- *.googlecommerce.com
- *.gstatic.com
- *.urchin.com
- *.url.google.com
- *.youtube-nocookie.com
- *.youtube.com
- *.ytimg.com
- android.com
- g.co
- goo.gl
- google-analytics.com
- google.com
- googlecommerce.com
- urchin.com
- youtu.be
- youtube.com
¿Qué es el ataque del tipo "Man in themiddle"?
Un ataque del tipo "Man in the middle" se produce cuando un atacante reenruta la comunicación entre dos usuarios a través del equipo del atacante sin que lo sepan los dos usuarios que establecen la comunicación. Cada usuario de la comunicación envía el tráfico al atacante y lo recibe del mismo, sin darse cuenta, todo ello pensando que se está comunicando con el usuario de destino.
¿Qué va a hacer Microsoft para ayudar a resolver este problema?
Aunque el problema no se debe a un producto de Microsoft, vamos a actualizar la CTL y a proporcionar una actualización para proteger a los clientes. Microsoft seguirá investigando este problema y puede realizar cambios futuros en la CTL o publicar una actualización futura para proteger a los clientes.
Después de aplicar la actualización, ¿cómo puedo consultar los certificados del almacén de certificados no confiables de Microsoft?
Para sistemas que utilizan el actualizador automático de certificados revocados (vea el artículo 2677070 de Microsoft Knowledge Base para obtener más detalles), incluidos Windows 8, Windows RT y Windows Server 2012, puede buscar una entrada con los siguientes valores en el Registro de aplicaciones en el Visor de eventos:
- Fuente: CAPI2
- Nivel: Información
- Id. del evento: 4112
- Descripción: Actualización automática correcta de la lista de certificados no permitidos con fecha de vigencia: lunes 31 de diciembre de 2012 (o posterior).
Para sistemas que no utilizan el actualizador automático de certificados revocados, en el complemento de MMC Certificados, compruebe que se han agregado los siguientes certificados a la carpeta Certificados en los que no se confía:
| Certificado | Publicado por | Huella digital |
|---|---|---|
| *.google.com | *.EGO.GOV.TR | 4d 85 47 b7 f8 64 13 2a 7f 62 d9 b7 5b 06 85 21 f1 0b 68 e3 |
| e-islem.kktcmerkezbankasi.org | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | f9 2b e5 26 6c c0 5d b2 dc 0d c3 f2 dc 74 e0 2d ef d9 49 cb |
| *.EGO.GOV.TR | TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri | c6 9f 28 c8 25 13 9e 65 a6 46 c4 34 ac a5 a1 d2 00 29 5d b1 |
Nota Para obtener información acerca de cómo ver certificados con el complemento de MMC, vea el artículo de MSDN Procedimientos: Ver certificados con el complemento de MMC.
Acciones recomendadas
Para las versiones compatibles de Microsoft Windows
Los clientes que tengan el actualizador automático de certificados revocados (artículo 2677070 de Microsoft Knowledge Base) no deberán realizar ninguna acción porque la CTL se actualizará automáticamente.
Nota Los dispositivos que ejecuten Windows Phone 8 contienen el actualizador automático de certificados revocados y se actualizarán automáticamente.
Para administradores e instalaciones empresariales que deseen estar protegidos automáticamente mediante el actualizador automático de certificados revocados, consulte el artículo 2677070 de Microsoft Knowledge Base para asegurarse de que resulta adecuado para su entorno, ya que los sistemas desconectados o entornos con filtros de entrada estrictos requieren consideraciones adicionales.
Para los clientes de Windows XP y Windows Server 2003 o los clientes que decidan no instalar el actualizador automático de certificados revocados, Microsoft recomienda que se aplique la actualización 2798897 inmediatamente con el software de administración de actualizaciones, buscando actualizaciones del servicio Microsoft Update o descargando y aplicando la actualización manualmente. Para obtener los vínculos de descarga, vea el artículo 2798897 de Microsoft Knowledge Base.
Acciones adicionales recomendadas
Proteja su PC
Seguimos recomendando a los clientes que apliquen los consejos de la sección Proteja su PC; a saber: habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, visite el Centro de seguridad y protección de Microsoft.
Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Microsoft Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene habilitadas y configuradas las actualizaciones automáticas para los productos de Microsoft, las actualizaciones se entregan cuando se publican, pero debe asegurarse de que están instaladas.
Información adicional:
Agradecimientos
Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:
- Adam Langley y Google Chrome Security Team, por comunicarnos el incidente y colaborar con nosotros en la respuesta
Microsoft Active Protections Program (MAPP)
Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).
Comentarios
- Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.
Soporte técnico
- Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, vea Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
- Microsoft TechNet Security
- proporciona información adicional acerca de la seguridad de los productos de Microsoft.
Renuncia
La información proporcionada en este documento informativo se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.
Revisiones
- V1.0 (3 de enero de 2013): Publicación del documento informativo.
- V1.1 (14 de enero de 2013): se ha corregido la fecha de vigencia de la lista de certificados no permitidos a "lunes 31 de diciembre de 2012 (o posterior)" de la entrada de preguntas más frecuentes "Después de aplicar la actualización, ¿cómo puedo consultar los certificados del almacén de certificados no confiables de Microsoft?"
Built at 2014-04-18T01:50:00Z-07:00