Security Advisory
Advisory Microsoft sulla sicurezza 2524375
I certificati digitali fraudolenti potrebbero consentire lo spoofing
Data di pubblicazione: mercoledì 23 marzo 2011 | Aggiornamento: martedì 10 maggio 2011
Versione: 4.0
Informazioni generali
Riepilogo
Microsoft è a conoscenza di nove certificati digitali fraudolenti rilasciati da Comodo, un'autorità di certificazione presente nell'archivio Autorità di certificazione principale attendibili, su tutte le versioni supportate di Microsoft Windows, Windows Mobile 6. x, Windows Phone 7, Microsoft Kin e i dispositivi Zune. Il 16 marzo 2011 Comodo ha informato Microsoft che nove certificati sono stati firmati per conto di una terza parte senza convalidare sufficientemente la sua identità. Questi certificati potrebbero essere utilizzati per accedere a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle" a tutti gli utenti di Web browser compresi gli utenti di Internet Explorer.
Questi certificati interessano le seguenti proprietà Web:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificati)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo ha revocato questi certificati che sono ora elencati nell'attuale elenco di revoche di certificati (CLR) di Comodo. Inoltre, i browser che hanno attivato il Protocollo di stato del certificato in linea (OCSP) convalideranno in modo interattivo questi certificati e ne impediranno l'utilizzo.
Un aggiornamento per risolvere questo problema è disponibile per tutte le versioni supportate di Windows e per i dispositivi Windows Mobile 6.x. Dal 3 maggio 2011, l'aggiornamento inizierà a essere disponibile anche per i clienti Windows Phone 7. Per ulteriori informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2524375.
Per le versioni supportate di Microsoft Windows, in genere, i clienti non devono eseguire alcuna azione per installare questo aggiornamento, poiché la maggior parte dei clienti ha attivato l'aggiornamento automatico e questo aggiornamento sarà scaricato e installato automaticamente. Per ulteriori informazioni, inclusa l'installazione di questo aggiornamento e dell'aggiornamento sui dispositivi Windows Mobile 6.x e Windows Phone 7, consultare la sezione Interventi consigliati di questo advisory.
Dettagli sull'advisory
Documentazione di riferimento per il problema
Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 2524375 |
Software e dispositivi interessati
Questo advisory riguarda i software e i dispositivi seguenti.
| Software interessato |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 con SP2 per sistemi Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2* |
| Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2* |
| Windows Server 2008 per sistemi Itanium e Windows Server 2008 per sistemi Itanium Service Pack 2 |
| Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1 |
| Windows 7 per sistemi x64 e Windows 7 per sistemi x64 Service Pack 1 |
| Windows Server 2008 R2 per sistemi x64 e Windows Server 2008 R2 per sistemi x64 Service Pack 1* |
| Windows Server 2008 R2 per sistemi Itanium e Windows Server 2008 R2 per sistemi Itanium Service Pack 1 |
| Dispositivi interessati |
| Windows Mobile 6.x |
| Windows Phone 7 |
| Microsoft Kin |
| Zune 4 GB, Zune 8 GB, Zune 16 GB, Zune 30 GB, Zune 80 GB e Zune 120 GB |
| Zune HD 16 GB, Zune HD 32 GB e Zune HD 64 GB |
*L'installazione Server Core è interessata da questo aggiornamento. Per le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2, a questo aggiornamento si applica il medesimo livello di gravità indipendentemente dal fatto che l'installazione sia stata effettuata usando l'opzione Server Core o meno. Per ulteriori informazioni su questa modalità di installazione, vedere gli articoli di TechNet, Gestione dell'installazione dei componenti di base del server e Manutenzione dell'installazione dei componenti di base del server. Si noti che l'opzione di installazione di Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.
Domande frequenti
Perché Microsoft ha rivisto questo advisory in data 10 maggio 2011? Microsoft ha rivisto quest'advisory per comunicare il rilascio di un aggiornamento per i dispositivi Windows Mobile 6.x. L'aggiornamento è disponibile dall'Area download Microsoft. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2524375.
Gli aggiornamenti per Microsoft Kin e i dispositivi Zune non sono attualmente disponibili. Microsoft rilascerà gli aggiornamenti per questi dispositivi una volta completata la verifica, al fine di assicurare un alto grado di qualità delle relative versioni.
Perché Microsoft ha rivisto questo advisory in data 3 maggio 2011? Microsoft ha rivisto quest'advisory per comunicare il rilascio di un aggiornamento per i dispositivi Windows Phone 7. Al momento del rilascio, l'aggiornamento non è disponibile per tutti i clienti Windows Phone 7. Questi riceveranno una notifica sul dispositivo quando l'aggiornamento sarà disponibile per il proprio telefono. Per ulteriori informazioni o installare l'aggiornamento, i clienti Windows Phone 7 dovranno collegare il telefono a un computer e utilizzare il client Zune PC o Windows Phone 7 Connector (per Mac) per completare il processo di aggiornamento. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 2524375.
Gli aggiornamenti di Windows Mobile 6. x, Microsoft Kin e i dispositivi Zune non sono disponibili attualmente. Microsoft rilascerà gli aggiornamenti per questi dispositivi una volta completata la verifica, al fine di assicurare un alto grado di qualità delle relative versioni.
Perché questo advisory è stato rivisto il 19 aprile 2011? Microsoft ha rivisto questo advisory per aggiungere Windows Mobile 6. x, Windows Phone 7, Microsoft Kin e i dispositivi Zune all'elenco dei software e dei dispositivi interessati. Microsoft è a conoscenza che l'archivio locale dei certificati non attendibili su questi dispositivi deve essere aggiornato per includere i nove certificati digitali fraudolenti.
Gli aggiornamenti di Windows Mobile 6. x, Windows Phone 7, Microsoft Kin e i dispositivi Zune non sono disponibili attualmente. Microsoft rilascerà gli aggiornamenti per questi dispositivi una volta completata la verifica, al fine di assicurare un alto grado di qualità delle relative versioni.
Che cos'è la crittografia? La crittografia è un metodo di protezione delle informazioni che passano dallo stato normale e leggibile (chiamato testo non crittografato) a uno in cui i dati sono oscurati (noto come testo crittografato) e viceversa.
In tutte le forme di crittografia, un valore noto come chiave è utilizzato con una procedura chiamata algoritmo di crittografia per trasformare il testo non crittografato in testo crittografato. Nel tipo più comune di crittografia, la crittografia a chiave privata, il testo crittografato viene convertito in testo non crittografato tramite la stessa chiave. In un secondo tipo di crittografia, la crittografia a chiave pubblica, viene utilizzata una chiave diversa per convertire testo crittografato in testo non crittografato.
Che cos'è un certificato digitale? Nella crittografia a chiave pubblica, una delle chiavi, conosciuta come chiave privata, deve essere tenuta segreta. L'altra chiave, conosciuta come chiave pubblica, può essere condivisa. Tuttavia, il proprietario della chiave deve dichiararne la proprietà. I certificati digitali forniscono una soluzione a tal fine. Un certificato digitale è una serie di dati a prova di scasso che racchiude una chiave pubblica e le relative informazioni: il proprietario, lo scopo, la scadenza e altro ancora.
Per cosa sono utilizzati i certificati? I certificati sono utilizzati principalmente per verificare l'identità di una persona o una periferica, autenticare un servizio o codificare file. In genere l'utente non deve occuparsi dei certificati. Potrebbe comunque essere visualizzato un messaggio che indica che un certificato è scaduto o non valido. In questi casi seguire le istruzioni indicate nel messaggio.
Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano i certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono agli utenti o ad altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che chiede un certificato.
Cosa ha causato il problema? Comodo, un'importante autorità di certificazione, ha informato Microsoft che sono stati rilasciati diversi certificati digitali senza convalidare sufficientemente la loro identità. Questi certificati potrebbero essere utilizzati per effettuare lo spoofing dell'identità di servizi, ingannando gli utenti sulla loro affidabilità.
Nota Comodo ha revocato questi certificati e sono elencati nell'attuale elenco di revoche di certificati (CLR) di Comodo.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? Un utente malintenzionato potrebbe utilizzare questi certificati a contenuti riservati, effettuare attacchi di phishing o attacchi di tipo "man-in-the-middle" a tutti gli utenti di Web browser compresi gli utenti di Internet Explorer.
Che cos'è un attacco di tipo "man-in-the-middle"? Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.
Qual è la procedura per revocare un certificato? È disponibile una procedura standard che dovrebbe consentire a Comodo di evitare che questi certificati vengano accettati se utilizzati. Ogni autorità di certificazione genera periodicamente un CLR, che elenca tutti i certificati che dovrebbero essere considerati non validi. Ogni certificato dovrebbe fornire una serie di dati denominata Punto di distribuzione CRL (CDP) che indica la posizione dove ottenere il CLR.
I Web browser possono convalidare l'identità di un certificato digitale anche utilizzando il Protocollo di stato del certificato in linea (OCSP). OCSP consente la convalida interattiva di un certificato tramite il collegamento a un risponditore OCSP, che risiede presso l'autorità di certificazione (CA) che ha firmato il certificato digitale. Ogni certificato deve fornire un puntatore al risponditore OCSP attraverso l'estensione Accesso alle informazioni dell'autorità (AIA) nel certificato. Inoltre, aggiungendo l'OCSP il server Web può fornire una risposta di convalida OCSP al client.
La convalida OCSP è attivata per impostazione predefinita su Internet Explorer 7 e versioni successive sulle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Su questi sistemi operativi, se la convalida OCSP fallisce, il browser convaliderà il certificato contattando la posizione del CLR.
Per ulteriori informazioni sulla verifica di revoca dei certificati, vedere l'articolo TechNet Certificate Revocation and Status Checking (in inglese).
Cos' è un elenco di revoche di certificati (CLR)? Un CLR è un elenco con firma digitale rilasciato da una CA, che contiene un elenco di certificati rilasciati dalla CA e in seguito revocati dalla CA. Per ciascun certificato revocato, l'elenco contiene il numero di serie del certificato, la data di revoca e il motivo della revoca. Le applicazioni possono eseguire un controllo CLR per determinare lo stato di revoca di un certificato.
Che cos'è il Punto di distribuzione CRL (CDP)? Il CDP è un'estensione certificato che indica dove può essere recuperato l'elenco di revoca dei certificati per una CA. Può contenere nessuno, uno o molti HTTP, file o URL LDAP.
Che cos'è il Protocollo di stato del certificato in linea (OCSP)? L'OCSP è un protocollo che consente la convalida in tempo reale dello stato di un certificato. In genere, un risponditore OCSP risponde con lo stato di revoca in base al CLR recuperato dalla CA.
Cosa fa Microsoft per risolvere questo problema? Sebbene questo problema non derivi da alcun prodotto Microsoft, abbiamo tuttavia sviluppato un aggiornamento che aiuterà a proteggere i clienti assicurando che questi nove certificati fraudolenti siano considerati sempre non attendibili.
Se ci sono problemi nel software Microsoft, perché Microsoft rilascia un aggiornamento? Anche quando il CLR e la convalida OCSP sono attivati, le tecniche di convalida non sono sufficientemente solide per garantire la protezione degli utenti dall'utilizzo dannoso di questi certificati. Quando la posizione del CLR e il risponditore OCSP possono essere raggiunti, le verifiche di convalida sono estremamente affidabili ed efficaci.
Tuttavia, quando le verifiche di revoca dei certificati falliscono per problemi di rete e connettività, i browser e le altre applicazioni client, compreso Internet Explorer, potrebbero ignorare questi errori e considerare il certificato affidabile per mancanza di altre prove. In questi scenari, i clienti potrebbero essere comunque colpiti.
**Quali sono gli scopi dell'aggiornamento? ** L'aggiornamento per le versioni supportate di Microsoft Windows risolve il problema collocando i nove certificati fraudolenti nell'archivio locale dei certificati non attendibili di Microsoft Windows. Gli aggiornamenti per Windows Mobile 6.x e i dispositivi Windows Phone 7 risolvono il problema collocando i nove certificati fraudolenti nell'archivio locale di certificati non attendibili sul dispositivo. Gli aggiornamenti per Microsoft Kin e i dispositivi Zune non sono attualmente disponibili.
Come è possibile sapere se si è riscontrato un errore di certificato non valido? Quando Internet Explorer incontra un certificato non valido, gli utenti visualizzano una pagina Web che avvisa dell'esistenza di un problema con il certificato di protezione del sito Web. Agli utenti viene richiesto di chiudere la pagina Web e il sito quando viene visualizzato questo messaggio di avviso.
Gli utenti visualizzano questo messaggio solo quando il certificato non è valido, ad esempio quando l'utente ha attivato l'elenco di revoche di certificati (CLR) o il Protocollo di stato del certificato in linea (OCSP). La convalida OCSP è attivata per impostazione predefinita su Internet Explorer 7 e versioni successive sulle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Dopo aver applicato l'aggiornamento, come posso verificare i certificati nella cartella di Certificati non attendibili? Per informazioni su come visualizzare i certificati, consultare l'articolo MSDN Procedura: visualizzare certificati con lo snap-in MMC.
Nello snap-in MMC Certificati, verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:
| Servizi certificati | Rilasciato da | Numero di serie |
|---|---|---|
| addons.mozilla.org | UTN-USERFirst-Hardware | 00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43 |
| "Global Trustee" | UTN-USERFirst-Hardware | 00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0 |
| login.live.com | UTN-USERFirst-Hardware | 00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0 |
| login.skype.com | UTN-USERFirst-Hardware | 00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47 |
| login.yahoo.com | UTN-USERFirst-Hardware | 00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3 |
| login.yahoo.com | UTN-USERFirst-Hardware | 39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29 |
| login.yahoo.com | UTN-USERFirst-Hardware | 3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71 |
| mail.google.com | UTN-USERFirst-Hardware | 04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e |
| www.google.com | UTN-USERFirst-Hardware | 00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06 |
Interventi consigliati
Installare l'aggiornamento
È disponibile un aggiornamento per risolvere questo problema.
Per le versioni supportate di Microsoft Windows
Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento viene scaricato e installato automaticamente. Gli utenti che non hanno attivato la funzionalità Aggiornamenti automatici devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.
L'aggiornamento è disponibile anche dall'Area download Microsoft; vedere l'articolo della Microsoft Knowledge Base 2524375 per i collegamenti di download.
Per dispositivi Windows Phone 7
Al momento del rilascio, l'aggiornamento non è disponibile per tutti i clienti Windows Phone 7. Questi riceveranno una notifica sul dispositivo quando l'aggiornamento sarà disponibile per il proprio telefono. Per ulteriori informazioni o installare l'aggiornamento, i clienti Windows Phone 7 dovranno collegare il telefono a un computer e utilizzare il client Zune PC o Windows Phone 7 Connector (per Mac) per completare il processo di aggiornamento. Per ulteriori informazioni sull'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2524375.
Per aggiornare il client Zune PC, i clienti possono configurare il controllo online degli aggiornamenti da Microsoft Update utilizzando il servizio Microsoft Update. I clienti che hanno attivato l'aggiornamento automatico e configurato il controllo online degli aggiornamenti da Microsoft Update in genere non devono eseguire alcuna operazione per aggiornare il software Zune perché questo aggiornamento sarà scaricato e installato automaticamente.
Per i dispositivi Windows Mobile 6.x
L'aggiornamento è disponibile dall'Area download Microsoft. Per ulteriori informazioni sui collegamenti di aggiornamento e download, vedere l'articolo della Microsoft Knowledge Base 2524375.
Ulteriori interventi consigliati
Rileggere l'articolo della Microsoft Knowledge Base associato a questo advisory
Per ulteriori informazioni su questo problema, vedere l'articolo della Microsoft Knowledge Base 2524375.
Proteggere il proprio PC
Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.
Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.
Tenere il software Microsoft aggiornato
Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.
Commenti e suggerimenti
- Per inviare un commento, compilare il modulo di Supporto Tecnico Microsoft Servizio di assistenza - Contattaci.
Supporto
- Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
- I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
- Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni
- V1.0 (23 marzo 2011): Pubblicazione dell'advisory.
- V2.0 (19 aprile 2011): Sono stati aggiunti Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e i dispositivi Zune all'elenco dei software e dei dispositivi interessati.
- V3.0 (3 maggio 2011): Comunicato il rilascio di un aggiornamento per i dispositivi Windows Phone 7. L'aggiornamento non è disponibile per tutti i clienti al momento del rilascio; vedere la domanda frequente sull'advisory per ulteriori informazioni.
- V4.0 (10 maggio 2011): Comunicato il rilascio di un aggiornamento per i dispositivi Windows Mobile 6.x.
Built at 2014-04-18T01:50:00Z-07:00