Avviso di sicurezza
Microsoft Security Advisory 2641690
I certificati digitali fraudolenti potrebbero consentire lo spoofing
Pubblicato: 10 novembre 2011 | Aggiornamento: 19 gennaio 2012
Versione: 3.0
Informazioni generali
Schema riepilogativo
Microsoft è consapevole del fatto che DigiCert Sdn. Bhd, un'autorità di certificazione subordinata malese (CA) in Entrust e GTE CyberTrust, ha emesso 22 certificati con chiavi deboli a 512 bit. Queste chiavi di crittografia deboli, se interrotte, potrebbero consentire a un utente malintenzionato di usare i certificati in modo fraudolento per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro tutti gli utenti del Web browser, inclusi gli utenti di Internet Explorer. Anche se non si tratta di una vulnerabilità in un prodotto Microsoft, questo problema interessa tutte le versioni supportate di Microsoft Windows.
DigiCert Sdn. Bhd non è affiliata alla società DigiCert, Inc., che è un membro del Programma di certificazione radice Microsoft.
Non vi è alcuna indicazione che i certificati sono stati emessi in modo fraudolento. Al contrario, le chiavi crittograficamente deboli hanno consentito la duplicazione di alcuni certificati e l'uso in modo fraudolento.
Microsoft fornisce un aggiornamento per tutte le versioni supportate di Microsoft Windows che revoca l'attendibilità in DigiCert Sdn. Bhd. L'aggiornamento revoca l'attendibilità dei due certificati CA intermedi seguenti:
- Digisign Server ID - (Enrich), rilasciato da Entrust.net Autorità di certificazione (2048)
- Digisign Server ID (Enrich), rilasciato da GTE CyberTrust Global Root
Elemento consigliato. Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Problemi noti.L'articolo della Microsoft Knowledge Base 2641690 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento. L'articolo illustra anche le soluzioni consigliate per questi problemi.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
Riferimenti | Identificazione |
---|---|
Articolo della Microsoft Knowledge Base | 2641690 |
Software e dispositivi interessati
Questo avviso illustra il software e i dispositivi seguenti.
Software interessato |
---|
Windows XP Service Pack 3 |
Windows XP Professional x64 Edition Service Pack 2 |
Windows Server 2003 Service Pack 2 |
Windows Server 2003 x64 Edition Service Pack 2 |
Windows Server 2003 con SP2 per sistemi basati su Itanium |
Windows Vista Service Pack 2 |
Windows Vista x64 Edition Service Pack 2 |
Windows Server 2008 per sistemi a 32 bit Service Pack 2* |
Windows Server 2008 per sistemi basati su x64 Service Pack 2* |
Windows Server 2008 per sistemi basati su Itanium Service Pack 2 |
Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1 |
Windows 7 per sistemi basati su x64 e Windows 7 per sistemi basati su x64 Service Pack 1 |
Windows Server 2008 R2 per sistemi basati su x64 e Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1* |
Windows Server 2008 R2 per sistemi basati su Itanium e Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 |
*Installazione dei componenti di base del server interessata. Questo avviso si applica alle edizioni supportate di Windows Server 2008 o Windows Server 2008 R2, come indicato, indipendentemente dal fatto che sia installata o meno l'opzione di installazione Server Core. Per altre informazioni su questa opzione di installazione, vedere gli articoli TechNet Gestione di un'installazione dei componenti di base del server e manutenzione di un'installazione dei componenti di base del server. Si noti che l'opzione di installazione Server Core non si applica a determinate edizioni di Windows Server 2008 e Windows Server 2008 R2; vedere Confrontare le opzioni di installazione dei componenti di base del server.
Dispositivi interessati |
---|
Windows Mobile 6.x |
Windows Phone 7 |
Windows Phone 7.5 |
Domande frequenti
Perché questo avviso è stato rivisto il19 gennaio 2012? Microsoft ha rivisto questo avviso per annunciare il rilascio di un aggiornamento per i dispositivi Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 2641690.
Perché questo avviso è stato rivisto il 16 novembre 2011? Microsoft ha rivisto questo avviso per annunciare la nuova versione dell'aggiornamento KB2641690 per Windows XP Professional x64 Edition Service Pack 2 e tutte le edizioni supportate di Windows Server 2003. L'aggiornamento rilasciato risolve un problema annotato dai clienti che usano Windows Server Update Services (WSUS), in cui l'applicabilità per l'aggiornamento non è stata rilevata correttamente.
I clienti di Windows XP Professional x64 Edition Service Pack 2 e tutte le edizioni supportate di Windows Server 2003 devono applicare la versione rilasciata dell'aggiornamento KB2641690 per essere protetti dall'uso di certificati fraudolenti, come descritto in questo avviso. I clienti di Windows XP Service Pack 3 e le edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 non sono interessati da questa versione.
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento rilasciato KB2641690 verrà scaricato e installato automaticamente.
Qual è l'ambito dell'avviso? Lo scopo di questo avviso è informare i clienti che DigiCert Sdn. Bhd ha rilasciato 22 certificati con chiavi a 512 bit deboli. Queste chiavi deboli hanno consentito la compromissione di alcuni certificati. Microsoft ha revocato l'attendibilità di questa CA subordinata in un aggiornamento che sposta due certificati CA intermedi nell'archivio certificati microsoft non attendibile.
Cosa ha causato il problema? Microsoft è stata notificata da Entrust, una CA nel Programma di certificazione radice Microsoft, che una delle ca subordinate, DigiCert Sdn. Bhd, emesso 22 certificati con chiavi deboli a 512 bit. Inoltre, questa CA subordinata ha emesso certificati senza le estensioni di utilizzo o le informazioni di revoca appropriate. Si tratta di una violazione dei requisiti di Microsoft Root Certificate Program.
Non vi è alcuna indicazione che i certificati sono stati emessi in modo fraudolento. Al contrario, le chiavi crittograficamente deboli hanno consentito la duplicazione di alcuni certificati e l'uso in modo fraudolento. Entrust e GTE CyberTrust hanno revocato i certificati CA intermedi emessi a DigiCert Sdn. Bhd. Microsoft sta fornendo un aggiornamento che revoca l'attendibilità di questi due certificati intermedi per proteggere ulteriormente i clienti.
In che modo un utente malintenzionato potrebbe duplicare un certificato? Una firma digitale può essere creata solo dalla persona che possiede la chiave privata del certificato. Un utente malintenzionato può tentare di indovinare la chiave privata e usare tecniche matematiche per determinare se un'ipotesi è corretta. La difficoltà di indovinare correttamente la chiave privata è proporzionale al numero di bit usati nella chiave. Pertanto, maggiore è la chiave più lunga è il tempo necessario per un utente malintenzionato per indovinare la chiave privata. Usando l'hardware moderno, è possibile indovinare correttamente le chiavi a 512 bit in un breve periodo di tempo.
In che modoun utente malintenzionato può usare certificati fraudolenti? Un utente malintenzionato potrebbe usare i certificati a 512 bit per spoofing del contenuto, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle contro tutti gli utenti del Web browser, inclusi gli utenti di Internet Explorer.
Che cosa sta facendo Microsoft per risolvere questo problema? Anche se questo problema non deriva da un problema in alcun prodotto Microsoft, abbiamo comunque rilasciato un aggiornamento che sposta due certificati intermedi rilasciati da Entrust e GTE CyberTrust nell'archivio certificati microsoft non attendibile. Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento.
Che cos'è un attacco man-in-the-middle? Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.
Che cos'è un'autorità di certificazione (CA)? Le autorità di certificazione sono le organizzazioni che rilasciano certificati. Stabiliscono e verificano l'autenticità delle chiavi pubbliche che appartengono a persone o altre autorità di certificazione e verificano l'identità di una persona o di un'organizzazione che richiede un certificato.
Qual è la procedura per revocare un certificato? Esiste una procedura standard che consente a un'autorità di certificazione di impedire l'accettazione dei certificati se usati. Ogni autorità emittente di certificati genera periodicamente un elenco di revoche di certificati (CRL), che elenca tutti i certificati che devono essere considerati non validi. Ogni certificato deve fornire una parte di dati denominata punto di distribuzione CRL (CDP) che indica la posizione in cui è possibile ottenere il CRL.
Un modo alternativo per i Web browser per convalidare l'identità di un certificato digitale consiste nell'usare il protocollo OCSP (Online Certificate Status Protocol). OCSP consente la convalida interattiva di un certificato connettendosi a un risponditore OCSP, ospitato dall'autorità di certificazione (CA) che ha firmato il certificato digitale. Ogni certificato deve fornire un puntatore alla posizione del risponditore OCSP tramite l'estensione AIA (Authority Information Access) nel certificato. Inoltre, l'associazione OCSP consente al server Web stesso di fornire una risposta di convalida OCSP al client.
La convalida OCSP è abilitata per impostazione predefinita in Internet Explorer 7 e versioni successive di Internet Explorer nelle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. In questi sistemi operativi, se il controllo di convalida OCSP ha esito negativo, il browser convaliderà il certificato contattando il percorso CRL.
Alcune distribuzioni di rete potrebbero impedire gli aggiornamenti di OCSP o CRL online in modo che Microsoft abbia rilasciato un aggiornamento per tutte le versioni di Microsoft Windows che aggiunge questi certificati all'archivio certificati microsoft non attendibile. Lo spostamento di questi certificati nell'archivio certificati microsoft non attendibile garantisce che questi certificati fraudolenti non siano attendibili in tutti gli scenari di distribuzione di rete.
Per altre informazioni sul controllo delle revoche di certificati, vedere l'articolo TechNet, La revoca dei certificati e il controllo dello stato.
Ricerca per categorie sapere se si è verificato un errore di certificato non valido? Quando Internet Explorer rileva un certificato non valido, agli utenti viene visualizzata una pagina Web con il messaggio "Si è verificato un problema con il certificato di sicurezza di questo sito Web". Gli utenti sono invitati a chiudere la pagina Web e a spostarsi dal sito quando viene visualizzato questo messaggio di avviso.
Gli utenti vengono visualizzati solo quando il certificato è determinato come non valido, ad esempio quando l'utente dispone dell'elenco di revoche di certificati (CRL) o della convalida OCSP (Online Certificate Status Protocol) abilitata. La convalida OCSP è abilitata per impostazione predefinita in Internet Explorer 7 e versioni successive di Internet Explorer nelle edizioni supportate di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Dopo aver applicato l'aggiornamento, come è possibile verificare i certificati nell'archivio certificati microsoft non attendibili? Per informazioni su come visualizzare i certificati, vedere l'articolo MSDN How to: View Certificates with the MMC Snap-in (Procedura: Visualizzare i certificati con lo snap-in MMC).
Nello snap-in MMC Certificati verificare che i certificati seguenti siano stati aggiunti alla cartella Certificati non attendibili:
Certificate | Rilasciato da | Identificazione personale |
---|---|---|
ID server Digisign - (Enrich) | Entrust.net Certification Authority (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
ID server Digisign (Enrich) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Azioni suggerite
Per le versioni supportate di Microsoft Windows
La maggior parte dei clienti ha abilitato l'aggiornamento automatico e non dovrà eseguire alcuna azione perché l'aggiornamento KB2641690 verrà scaricato e installato automaticamente. I clienti che non hanno abilitato l'aggiornamento automatico devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente. Per informazioni sulle opzioni di configurazione specifiche nell'aggiornamento automatico, vedere l'articolo della Microsoft Knowledge Base 294871.
Per gli amministratori e le installazioni aziendali o per gli utenti finali che vogliono installare manualmente l'aggiornamento KB2641690, Microsoft consiglia ai clienti di applicare immediatamente l'aggiornamento usando il software di gestione degli aggiornamenti o controllando la disponibilità di aggiornamenti tramite il servizio Microsoft Update . Per altre informazioni su come applicare manualmente l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 2641690.
Per i dispositivi Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5
Per informazioni sull'aggiornamento per i dispositivi Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5, vedere l'articolo della Microsoft Knowledge Base 2641690.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.
Per altre informazioni su come rimanere al sicuro su Internet, visitare Microsoft Security Central.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 novembre 2011): Avviso pubblicato.
- V2.0 (16 novembre 2011): revisione per annunciare la nuova versione dell'aggiornamento KB2641690. Per altre informazioni, vedere Le domande frequenti sull'aggiornamento in questo avviso. È anche stato aggiunto il collegamento all'articolo della Microsoft Knowledge Base 2641690 in Problemi noti nel riepilogo esecutivo.
- V3.0 (19 gennaio 2012): modificato per annunciare il rilascio di un aggiornamento per i dispositivi Windows Mobile 6.x, Windows Telefono 7 e Windows Telefono 7.5.
Costruito al 2014-04-18T13:49:36Z-07:00