Aviso de seguridad Microsoft 3050995 publicado el martes, 24 de marzo de 2015 – Certificados digitales expedidos indebidamente podrían permitir spoofing

¿Cuál es el propósito de esta alerta?  

Esta alerta es para notificarle que Microsoft ha publicado el Aviso de seguridad  3050995 Certificados digitales expedidos indebidamente podrían permitir spoofing – 24 de marzo de 2015.

 Resumen: 

Microsoft es consciente de los certificados digitales emitidos indebidamente de la CA subordinada, MCS Holdings, que podrían ser utilizados en intentos de suplantar contenido, realizar ataques de phishing o realizar ataques man-in-the-middle. Los certificados emitidos incorrectamente no se pueden utilizar para emitir otros certificados, suplantar a otros dominios o firmar código. Este problema afecta a todas las versiones compatibles de Microsoft Windows.

 Para ayudar a proteger a los clientes por el uso potencialmente fraudulento de estos certificados emitidos incorrectamente, Microsoft está actualizando la Lista de certificados de confianza (CTL) para retirar la confianza del certificado CA subordinado. La Autoridad de certificación con la confianza raíz, el Centro de Información de Internet de China (CNNIC), también ha revocado el certificado de la CA subordinada Microsoft está trabajando en una actualización para los clientes de Windows Server 2003 y la dará a conocer una vez que esté totalmente probada. Para obtener más información acerca de estos certificados, consulte la sección de Preguntas frecuentes de este aviso.

 Recomendaciones

Se incluye un actualizador automático de certificados revocados en las ediciones con soporte de Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1 y Windows Server 2012 R2, y para los dispositivos con Windows Phone 8 y Windows Phone 8.1. Para estos sistemas operativos o dispositivos, los clientes no tienen que realizar ninguna acción, ya que la CTL se actualizará automáticamente. 

Para los sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que utilicen el actualizador automático de certificados revocados (consulte el artículo 2677070 de la base de conocimiento de Microsoft para obtener más información), los clientes no tienen que realizar ninguna acción, ya que estos sistemas se protegerán automáticamente.

 Revise el Aviso de seguridad de Microsoft 3050995 para obtener detalles adicionales sobre los componentes afectados, factores atenuantes, acciones sugeridas, preguntas frecuentes (FAQ), y enlaces a recursos adicionales.

 

Recursos adicionales

Con respecto a la consistencia de la información

 Nos esforzamos por proporcionarle información precisa en contenidos estáticos (este correo) y dinámicos (basados en la Web). Ocasionalmente se actualiza el contenido de seguridad de Microsoft colocado en la Web para reflejar la información más reciente. Si esto resulta en una inconsistencia entre la información en este documento y la información en los contenidos de seguridad basados en la Web de Microsoft, éstos últimos prevalecerán.

 

Si tiene alguna pregunta sobre esta alerta, póngase en contacto con su Gerente Técnico de la cuenta.

 

Muchas gracias.

 

Microsoft CSS Security Team