Microsoft Security Advisory 2982792 foi lançado em 10 de Julho de 2014 - Certificados Digitais Indevidamente Emitidos Podem Permitir Spoofing
Qual é o objetivo do alerta?
Este alerta é para notificá-lo de que a Microsoft lançou o Aviso de Segurança 2982792 - Certificados Digitais Indevidamente Emitidos Podem Permitir Spoofing em 10 de Julho de 2014.
Visão geral - Novo Aviso de Segurança 2982792
A Microsoft está ciente de Certificados digitais SSL indevidamente emitidos que poderiam ser usados em tentativas de falsificar conteúdo, realizar ataques de phishing, ou realizar ataques de interceptação. Os certificados SSL foram indevidamente emitidos pelo National Informatics Center (NIC), que opera com CAs subordinadas (Certified Authorities) ao sistema radicular de CAs operado pelo Controlador de Autoridades Certificadoras (CCA) do Governo da Índia, que são CAs presentes no armazenamento do Trusted Root Certification Authorities Store. Este prolema afeta todas as versões suportadas do Microsoft Windows. No momento, a Microsoft não tem conhecimento de quaisquer ataques relacionados com esta questão.
O CA subordinada tem sido usada indevidamente para emitir certificados SSL para vários sites, incluindo propriedades do Google web. Esses certificados SSL podem ser usados para falsificar conteúdo, realizar ataques de phishing, ou executar ataques de man-in-the middle contra propriedades da web. As CAs subordinadas também podem ter sido usadas para emitir certificados para outros site, atualmente desconhecidos, que poderiam estar sujeito a ataques semelhantes.
Para ajudar os clientes se protegerem da potencial utilização fraudulenta do presente certificado digital, a Microsoft está atualizando a lista de certificados confiáveis (CTL) para todas as versões suportadas do Microsoft Windows para remover os certificados de confiança que estão causando o problema. Para obter mais informações sobre os certificados, consulte a secção de Perguntas Frequentes do comunicado.
Recomendações
Um atualizador automático de certificados revogados é incluído em todas as edições suportadas do Windows 8, o Windows 8.1 , Windows RT, o Windows RT 8.1 , o Windows Server 2012 e Windows Server 2012 R2, e para os dispositivos com Windows Phone 8 ou Windows Phone 8.1 . Para estes sistemas operativos ou dispositivos, os clientes não precisam tomar nenhuma providência porque o CTL será atualizado automaticamente.
Para os sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2, que estão usando o atualizador automático dos certificados revogados (ver Microsoft Knowledge Base Article 2677070 para saber mais detalhes), os clientes não necessitam efetuar qualquer ação porque o CTL será atualizado automaticamente.
A atualização está disponível para sistemas executando o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2, que ainda não tenham instalado o atualizador automático de certificados revogados. Para receber esta atualização, recomenda-se que os clientes instalem o atualizador automático dos certificados revogados (ver Microsoft Knowledge Base Article 2677070 para saber mais detalhes). Os clientes em ambientes desconectados e que estejam executando o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2, podem instalar a atualização 2813430 para receber essa atualização (veja Microsoft Knowledge Base Article 2813430 detalhes).
Neste momento, nenhuma atualização está disponível para os clientes que estejam executando o Windows Server 2003. A Microsoft irá atualizar este aviso no momento em que uma atualização esteja disponível para os clientes do Windows Server 2003.
Para obter mais informações, incluindo as respostas às perguntas mais frequentes (FAQ) e links para recursos adicionais, rever o Microsoft Security Advisory 2982792 no links fornecidos na seção Recursos Adicionais abaixo.
Recursos Adicionais
Microsoft Security Advisory 2982792 - Certificados Digitais Indevidamente Emitidos Podem Permitir Spoofing - https://technet.microsoft.com/library/security/2982792
Microsoft Security Response Center (MSRC) Blog: https://blogs.technet.com/msrc
Security Research & Defense (SRD) Blog: https://blogs.technet.com/srd
Sobre a Consistência das Informações
Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.
Se você tiver quaisquer perguntas com relação a este alerta, entre em contato com seu Gerente de Conta de Suporte Técnico.
Atenciosamente,
Equipe de Segurança Microsoft CSS