Revocación de certificados digitales fraudulentos en Microsoft Windows
Fecha de publicación:
11/07/2014
Importancia:
4 -
Alta
Recursos afectados:
Software Afectado:
- Operating System
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- Windows 8 for 32-bit Systems
- Windows 8 for x64-based Systems
- Windows 8.1 for 32-bit Systems
- Windows 8.1 for x64-based Systems
- Windows RT
- Windows RT 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (instalación Server Core)
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems (instalación Server Core)
- Windows Server 2012 (instalación Server Core)
- Windows Server 2012 R2 (instalación Server Core)
- Windows Phone 8
- Windows Phone 8.1
Descripción:
Microsoft ha publicado una actualización para revocar varios certificados digitales, emitidos por Controller of Certifying Authorities(CCA) de la India, que podrían ser utilizados para suplantar identidades, realizar ataques de phishing, o llevar a cabo ataques man-in-the-middle.
Solución:
Está disponible una actualización para las versiones de Microsoft Windows afectadas que soluciona este problema.
Por lo general, dicha actualización no requiere ninguna acción por parte de los usuarios ya que la mayoría tienen habilitada la actualización automática y por tanto dicha actualización se descargará e instalará automáticamente. Sin embargo aquellos que no dispongan de esta configuración tendrán que instalar manualmente cada uno de los paquetes.
Detalle:
Microsoft ha comunicado que varios certificados digitales emitidos por la Autoridad de Certificación (CA) Controller of Certifying Authorities (CCA) del gobierno de la India han sido usados de forma inadecuada.
Estos certificados SSL podrían ser utilizados para suplantación de identidad, realizar ataques de phishing, o llevar a cabo ataques man-in-the-middle contra propiedades web. El CA subordinado también puede haber sido utilizado para emitir certificados para otros sitios, actualmente desconocidos, que podrían ser objeto de ataques similares.
Los certificados comprometidos son:
| Certificado | Expedido por | Thumbprint |
|---|---|---|
| NIC Certifying Authority | CCA India 2007 | 48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf |
| NIC CA 2011 | CCA India 2011 | c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2 |
| NIC CA 2014 | CCA India 2014 | d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a |
El listado de dominios afectados es el siguiente:
- google.com
- mail.google.com
- gmail.com
- www.gmail.com
- m.gmail.com
- smtp.gmail.com
- pop.gmail.com
- imap.gmail.com
- googlemail.com
- www.googlemail.com
- smtp.googlemail.com
- pop.googlemail.com
- imap.googlemail.com
- gstatic.com
- ssl.gstatic.com
- www.static.com
- encrypted-tbn1.gstatic.com
- encrypted-tbn2.gstatic.com
- login.yahoo.com
- mail.yahoo.com
- mail.yahoo-inc.com
- fb.member.yahoo.com
- login.korea.yahoo.com
- api.reg.yahoo.com
- edit.yahoo.com
- watchlist.yahoo.com
- edit.india.yahoo.com
- edit.korea.yahoo.com
- edit.europe.yahoo.com
- edit.singapore.yahoo.com
- edit.tpe.yahoo.com
- legalredirect.yahoo.com
- me.yahoo.com
- open.login.yahooapis.com
- subscribe.yahoo.com
- edit.secure.yahoo.com
- edit.client.yahoo.com
- bt.edit.client.yahoo.com
- verizon.edit.client.yahoo.com
- na.edit.client.yahoo.com
- au.api.reg.yahoo.com
- au.reg.yahoo.com
- profile.yahoo.com
- static.profile.yahoo.com
- openid.yahoo.com
Referencias:
Etiquetas: