Nossos Agradecimentos no Boletim MS09-007

  • Article

Muitos de vocês talvez tenham reparado na presença da Secretaria da Fazenda do Estado do Rio Grande do Sul e da PROCERGS nos agradecimentos dos boletins de segurança deste mês. Gostaríamos de contar aqui um pouco do que está por trás disto e reforçar a nossa gratidão à equipe destes dois órgãos.

 

image

Há três meses atrás a equipe de segurança da Microsoft Brasil foi comunicada pela SEFAZ-RS e pela PROCERGS de uma situação onde era possível fazer um ataque de falsificação (spoofing) usando certificados digitais. Este ataque somente era possível sob condições bem específicas, mas um se bem sucedido poderia comprometer a presunção de confiança e de não-repúdio fornecido pela PKI, em especial aqui no Brasil pela ICP-Brasil.

A Microsoft Brasil acionou imediatamente o Microsoft Security Response Center, que reproduziu o problema e identificou a falha no componente SChannel do Windows, responsável pela implementação do protocolo SSL/TLS. A partir daí foi possível inicialmente identificar um workaround que resolvia provisoriamente o problema, e em paralelo o desenvolvimento da correção que foi divulgada ontem.

Durante todo este período as equipes da SEFAZ-RS e PROCERGS forneceram detalhes técnicos sobre vulnerabilidade, colaboraram para a identificação de uma condição de contorno e apoiaram no que foi necessário o desenvolvimento da correção. Mais do que isso, mostraram uma maturidade admirável nos seus processos de comunicação interna e resposta a incidentes, mantendo todas as informações relativas a esta vulnerabilidade restritas apenas aos grupos que precisavam ter conhecimento e ajudando assim a proteger todos os outros usuários.

Obrigado mais uma vez a toda a equipe da SEFAZ-RS e da PROCERGS, e para o Instituto Nacional de Tecnologia da Informação (ITI) pelo apoio prestado. E se você utiliza certificados digitais, instale a atualização MS09-007 o mais rapidamente possível para se proteger desta vulnerabilidade.