Artículo del Blog del Grupo de Investigación y Defensa de Seguridad sobre el documento Informativo de Seguridad 2607712 y los certificados digitales fraudulentos emitidos por DigiNotar

  • Article

 

Hola a todos, les escribe Roberto Arbeláez.  A continuación les presento una traducción del Blog del Grupo de Investigación y Defensa de Seguridad del  4 de sept. 2011 6:54 PM que incluye información adicional sobre el Documento Informativo (Alerta) de seguridad 2607712 que presentamos en el articulo anterior.

 

------------------------------------------------

 

Cómo Protegerse contra ataques que aprovechan los certificados digitales DigiNotar fraudulentos

 

La semana pasada liberamos el Security Advisory 2607712, notificando a los clientes que la autoridad de certificados DigiNotar emitió certificados digitales fraudulentos. Queremos dar seguimiento a esa notificación en este blog al explicar más acerca de los riesgos potenciales y las acciones que puede tomar para protegerse contra cualquier ataque potencial que pueda aprovechar esos certificados fraudulentos.

Alcance del riesgo

Configuraciones vulnerables

· Qué está haciendo Microsoft para protegerlo

· Qué puede usted hacer para protegerse

Protecciones adicionales integradas a Windows Update

Alcance del riesgo

Los certificados digitales emitidos por una Autoridad Certificadora (CA) de confianza permiten establecer la identidad de una Computadora. Los protocolos que garantizan su privacidad, tales como SSL (HTTPS) y TLS, utilizan el certificado digital de un servidor para garantizar que ningún tercero pueda husmear o manipular las conversaciones entre un cliente y el servidor. Los clientes y los servidores establecen su identidad a través de un certificado digital. Los clientes toman la decisión de confiar la identidad del servidor porque confían en que una CA verifica la legitimidad de la persona o compañía que solicita el certificado.

Si se pusiera en peligro a una CA de confianza o se le engañara para emitir certificados fraudulentos, un agresor malicioso podría solicitar y recibir un certificado digital que le permitiría participar en conversaciones HTTPS, husmear o manipular los contenidos.

Para que un ataque sea exitoso, un agresor debe haber recibido la emisión de un certificado digital para el servidor o dominio en el cual el cliente está iniciando una conexión. Además, el agresor debe poder manipular la conversación en progreso. En términos prácticos, esta manipulación puede suceder en una de tres maneras:

· El agresor está en su red local (por ejemplo: red inalámbrica abierta)

· El agresor posee u opera la infraestructura de red entre el cliente víctima y el servidor que escucha; o

· El agresor controla el servidor DNS que usa su ISP, o influye sobre su opción de servidor DNS a través de respuestas DHCP si un cliente obtiene configuraciones DNS a través de DHCP.

Sin este tipo de acceso tipo “hombre en medio”, sería poco probable que un agresor tuviera éxito para realizar el ataque.

En este caso particular, originalmente tuvimos conocimiento de certificados fraudulentos emitidos por DigiNotar para *.google.com y desde entonces tuvimos conocimiento de los certificados fraudulentos emitidos para *.microsoft.com, *.windowsupdate.com, www.update.microsoft.com, y un número de otros dominios para los cuales la privacidad de las conversaciones es extremadamente importante. Windows Update es un caso especial que se abordará más adelante en el blog; sin embargo, basta con decir que si el agresor tenía uno de esos certificados y tenía acceso “hombre de por medio” a su tráfico de red, ellos podrían husmear (o cambiar el contenido) de las conversaciones entre usted y cualquiera de esos dominios.

Configuraciones vulnerables

Todas las versiones de Windows están afectadas por este ataque. Sin embargo, cuando un usuario inicia una conexión HTTPS SSL a través de Internet Explorer en Windows Vista, Windows 7, o Windows Server 2008 y se topa con un nuevo certificado raíz, el software de verificación de la cadena de certificados de Windows verifica una lista de certificados raíz válidos, los cuales están alojados en Windows Update. Al 29 de agosto, esta Lista de Certificados de Confianza (CTL) en Microsoft Update ha sido revisada para eliminar DigiNotar de la lista de Autoridades Certificadas de confianza para que cualquier certificado emitido por DigiNotar ya no sea de confianza para las conversaciones HTTPS.

Windows XP y Windows Server 2003 no tienen el mismo mecanismo de verificación que Microsoft Update. En cambio, estas versiones de Windows dependen de una lista estática de autoridades de certificados raíz de confianza. Esta lista se actualiza a través de la actualización de no seguridad “Actualización para Certificados Raíz (KB 931125)”. DigiNotar no se incluyó inicialmente como un certificado raíz de confianza en Windows XP, por lo tanto, si nunca instaló esta actualización, usted no es vulnerable a ninguno de los certificados emitidos por ellos.

Sin embargo, cualquier sistema Windows XP o Windows Server 2003 que haya instalado esta actualización hasta noviembre de 2008 o en una fecha posterior tendrá DigiNotar agregado como un certificado raíz de confianza. Los administradores de estos sistemas pueden seguir los pasos en la sección “Qué puede hacer para protegerse” más adelante para tomar acciones proactivas para eliminar DigiNotar como una Autoridad de Certificados raíz de confianza hasta que Microsoft libere una actualización que aborde completamente este problema.

Los dispositivos de teléfonos Windows no están afectados. Ningún dispositivo móvil Windows tiene un certificado DigiNotar en el repositorio de Certificados Raíz de Confianza.

Qué está haciendo Microsoft para protegerlo en Windows Vista y plataformas posteriores

Microsoft ha actualizado la Lista de Certificados de Confianza (CTL) alojada en Microsoft Update para eliminar DigiNotar como una Autoridad de Certificados raíz de confianza. Los ataques dirigidos a los usuarios de Internet Explorer en Windows Vista y plataformas posteriores en cualquier momento después del 29 de agosto probablemente fracasarán. Sin embargo, debemos considerar que los sistemas que han enfrentado previamente certificados DigiNotar pueden tener DigiNotar en la memoria cache como una Autoridad de Certificados raíz de confianza. Esta lista en la memoria cache se actualiza en el lado del cliente cada siete días. Por lo tanto, la última fecha en la cual cualquier ataque dirigido a los usuarios de Internet Explorer en Windows Vista y plataformas posteriores pueda posiblemente tener éxito será el 5 de septiembre.

Qué está haciendo Microsoft para protegerlo en Windows XP y Windows Server 2003

Actualmente estamos preparando una actualización para las plataformas Windows XP y Windows Server 2003 la cual agregará DigiNotar a nuestro repositorio de Certificados de no confianza. Esta actualización estará disponible pronto.

Qué puede hacer usted para protegerse

Primero, como se indica en el Security Advisory, nosotros recomendamos mantener actualizado el software de Microsoft. Si puede hacerlo, opte por Actualizaciones Automáticas para obtener automáticamente las actualizaciones de Windows XP y Windows Server 2003 cuando estén disponibles.

Segundo, puede elegir eliminar la raíz DigiNotar del repositorio raíz manualmente. Tal vez considere hacer esto si considera que el riesgo para su red o su sistema es urgente y quiere tomar acción antes de que esté disponible la actualización para Windows XP y Windows Server 2003. Después de hacer esto, también deberá limpiar la memoria cache local. Los pasos para eliminar la raíz DigiNotar del repositorio de CA raíz de confianza y para limpiar la memoria cache se enumeran a continuación.

Paso 1: Elimine la Raíz DigiNotar del repositorio de CA raíz de confianza.

  • Haga clic en Inicio, haga clic en Iniciar Búsqueda, escriba mmc, y luego presione INTRO.
  • En el menú Archivo, haga clic en Agregar/Eliminar Snap-in
  • Bajo Snap-ins disponibles, haga clic en Certificados, y luego haga clic en Agregar
  • Bajo Este snap-in siempre administrará los certificados para, haga clic en Cuenta del PC, y luego haga clic en Siguiente
  • Haga clic en el PC local, y haga clic en Finalizar
  • Si no tiene más snap-ins que agregar a la consola, haga clic en OK
  • En el árbol de la consola, haga doble clic en Certificados
  • Haga doble clic en el repositorio de Autoridades de Certificación Raíz de Confianza y haga clic en Certificados para ver todos los certificados en la tienda
  • Seleccione dos certificados CA Raíz DigiNotar. Puede confiar los certificados correctos al marcar su impresión la cual debe ser “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c” y “43 d9 bc 68 e0 39 d0 73 a7 4ª 71 d8 51 1f 74 76 08 9c c3”
  • Haga clic con el botón alterno sobre los certificaos y seleccione Eliminar

Ofrecemos instrucciones para eliminar una raíz a lo largo de una red empresarial a través de la política de grupo – https://technet.microsoft.com/en-us/library/cc786148(WS.10).aspx. En el paso 3 de esas instrucciones de la política de grupo, seleccione la CA raíz en cuestión aquí – CAs Raíz DigiNotar con impresiones “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c” y “43 d9 bc 68 e0 39 d0 73 a7 4ª 71 d8 51 1f 74 76 08 9c c3”.

Paso 2: Limpie la memoria cache para eliminar cualquier CTL más antigua en la memoria cache.

La manera más sencilla para hacerlo es usar “certutil-urlcache * delete”. Esto limpiará la memoria cache para el usuario actual. Puede encontrar más documentación acerca de este paso, incluyendo un botón Microsoft Fix It para limpiar la memoria cache, en https://support.microsoft.com/kb/2328240.

Como se indicó arriba, la mayoría de los clientes en Windows Vista y plataformas posteriores ya están protegidas debido a la Lista de Certificados de Confianza actualizada en Windows Update, la cual se verifica cuando Windows encuentra una nueva Autoridad de Certificados raíz. Para garantizar que DigiNotar no esté en la memoria cache de manera local como una CA raíz de confianza, usted puede limpiar la CTL en la memoria cache local como se explicó arriba. Una CTL fresca se descargará automáticamente la siguiente vez que Windows enfrente una nueva CA raíz.

Existe un caso final que se debe considerar ya que no se protegerá automáticamente:

  • Si usted es un cliente empresarial que tiene Windows Vista y estaciones de trabajo posteriores; y
  • Si ha deshabilitado el mecanismo automático de actualización de la raíz a través de la opción de la política de grupo; y
  • Si ha agregado manualmente DigiNotar como una autoridad raíz de confianza –

Entonces usted querrá agregar las raíces DigiNotar a la Tienda de Certificados de no confianza a través de la política de grupo.

Protecciones adicionales integradas a Windows Update

Los agresores no pueden aprovechar un certificado de Windows Update fraudulento para instalar malware a través de los servidores Windows Update. El cliente Windows Update sólo instalará cargas binarias firmadas por el certificado CA raíz de Microsoft real, el cual es emitido y garantizado por Microsoft. Además, Windows Update por sí mismo no está en riesgo, incluso para un agresor con un certificado fraudulento.

Gracias a Yogesh Mehta, Shain Wray, Charles Anthe, y Mark Wodrich por la ayuda con este blog.

-Jonathan Ness, Grupo de Ingeniería del MSRC

 

------------------------------------------------

 

Como siempre, si usted cree que ha sido afectado, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:

–Para usuario final: https://www.microsoft.com/latam/protect/support/default.mspx

–Para usuario corporativo: https://support.microsoft.com/default.aspx?ln=ES-LA

–Teléfonos de las líneas de soporte en Latinoamérica: https://support.microsoft.com/gp/contactusen/?ln=es-la

 

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

 

 

Etiquetas de Technorati: 2607712,diginotar,microsoft,ie,explorer