Microsoft advierte que certificados fraudulentos emitidos por Comodo permitirian ataques
Microsoft emitió hoy (ayer) un boletín de advertencia (KB2524375) en donde informa haber tomado conocimiento que la empresa Comodo emitió certificados fraudulentos, los cuales fueron emitidos por una empresa afiliada a Comodo.
En el comunicado Microsoft destaca que:
Como verificar la revocacion de certificados en el navegador:
En Internet Explorer 8 o 9, Opciones de Internet, Opciones avanzadas, Seguridad, Comprobar si se revocó... En IE8 por defecto está deshabilitado y es necesario habilitarlo, en IE9 por defecto está habilitado.
En Chrome 10, Opciones, Avanzadas, Seguridad, Comprobar la revocación del certificado del servidor. Por defecto está habilitado.
En FireFox 4, Opciones, Avanzadas, Lista de Revocados y también Validación, Usar OCSP. Por defecto está habilitado.
Para obtener la lista de certificados revocados de Comodo se descarga el archivo desde este enlace: http://crl.comodo.net/UTN-USERFirst-Hardware.crl
En Windows el archivo se maneja con certmgr.msc, en OSX con keychain o en algunos navegadores como Firefox directamente en la opción Lista de revocados detallada antes.
Los usuarios de IE9 y de FireFox, incluyendo FF4, estarían protegidos pues los navegadores por defecto comprueban la lista de revocación o usan el protocolo OCSP para validar el certificado, el cual está disponible para los certificados emitidos por Comodo. Sobre la utilidad práctica de OCSP hay discusiones sobre su utilidad y propuestas mas sencillas para evitar la necesidad de revocar certificados sin cambiar la tecnología actual.
Para que se cargue automáticamente la lista de revocación descripta por el boletín de MS (KB2524375), el servicio Windows Update debe está configurado para descargar e instalar las actualizaciones de forma automática y periódica. O en su defecto descargar e instalar la actualización desde: http://support.microsoft.com/kb/2524375
En Windows al ejecutar certmgr.msc se puede comprobar el estado de la lista de Certificados en los que no se confía
El origen de los certificados fraudulentos - Un ataque desde Irán
Comodo notificó recién ahora oficialmente el problema según se lee en http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html. Allí aclaran que al monitorear el tráfico de respuestas del protocolo OCSP no han detectado ningún intento de usar estos certificados.
También explican que el ataque al afiliado de Comodo, fue originado desde varias direcciones pero principalmente desde una IP de Irán de donde deducen que es originado el ataque. Comodo aclara que en este ataque no fueron comprometidas otras cuestiones más que las credenciales de un solo usuario y contraseña que usaron para poder emitir rápidamente los certificados mencionados. Lo cual demuestra que sabían exactamente lo que querían lograr y estaban preparados para eso.
Raúl de la redacción de Segu-Info en base a las fuentes
http://www.microsoft.com/technet/security/advisory/2524375.mspx
http://support.microsoft.com/kb/2524375
http://www.pcmag.com/article2/0,2817,2382518,00.asp
http://www.imperialviolet.org/2011/03/18/revocation.html
https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion
En el comunicado Microsoft destaca que:
Comodo es una entidad de certificación autoritativa (CA) presente en el almacén de Entidades de Certificación Raíz Confiables de todos sus productos Windows soportados. Comodo notificó a Microsoft el pasado 16 de marzo en referencia a 9 certificados emitidos firmados en nombre de un tercero sin una validación suficiente de su identidad. Esos certificados podrían ser usados para suplantar contenido, realizar ataques de phishing, o realizar ataques "hombre en el medio" MitM contra usuarios de todos los navegadores web incluyendo los usuarios de Internet Explorer.Esos certificados afectan a las propiedades Web de:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificados)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo revocó estos certificados, y se incluyen en la Lista de revocación de certificados (CRL) actual de Comodo. Además, los exploradores que se habilitaron en el Protocolo de estado de certificados en línea (OCSP) validarán interactivamente estos certificados y los bloquearán para impedir que se utilicen.
Hay disponible una actualización para todas las versiones con soporte de Windows que ayuda a resolver este problema. Para obtener más información acerca de esta actualización, consulte el Artículo de la Base del conocimiento de Microsoft 2524375 (http://support.microsoft.com/kb/2524375).
Sobre el impacto de estos certificados fraudulentos Neil Rubenking, analista de seguridad de PCmag.com dice que:Por lo general, no requiere ninguna acción por parte de los clientes para instalar esta actualización, porque la mayoría de los clientes tiene habilitada la actualización automática, y esta actualización se descargará e instalará automáticamente.
Básicamente, alguien que introdujera uno de estos certificados falsos de alto nivel en un sistema podría redirigir el tráfico seguro a sus propios servidores y recolectar información de autenticación, incluyendo usuarios y contraseñas.El vicepresidente de Comodo Phillip Hallam-Baker aclaró que
..en ningún momento fue comprometido ningún certificado raíz propio de Comodo o las entidades certificantes intermedias o comprometido el hardware seguro.Al haber sido revocado los certificados, ningún navegador debería aceptarlos como válidos en la medida que tenga habilitada la comprobación de revocación de certificados.
Como verificar la revocacion de certificados en el navegador:
En Internet Explorer 8 o 9, Opciones de Internet, Opciones avanzadas, Seguridad, Comprobar si se revocó... En IE8 por defecto está deshabilitado y es necesario habilitarlo, en IE9 por defecto está habilitado.
En Chrome 10, Opciones, Avanzadas, Seguridad, Comprobar la revocación del certificado del servidor. Por defecto está habilitado.
En FireFox 4, Opciones, Avanzadas, Lista de Revocados y también Validación, Usar OCSP. Por defecto está habilitado.
Para obtener la lista de certificados revocados de Comodo se descarga el archivo desde este enlace: http://crl.comodo.net/UTN-USERFirst-Hardware.crl
En Windows el archivo se maneja con certmgr.msc, en OSX con keychain o en algunos navegadores como Firefox directamente en la opción Lista de revocados detallada antes.
Los usuarios de IE9 y de FireFox, incluyendo FF4, estarían protegidos pues los navegadores por defecto comprueban la lista de revocación o usan el protocolo OCSP para validar el certificado, el cual está disponible para los certificados emitidos por Comodo. Sobre la utilidad práctica de OCSP hay discusiones sobre su utilidad y propuestas mas sencillas para evitar la necesidad de revocar certificados sin cambiar la tecnología actual.
Para que se cargue automáticamente la lista de revocación descripta por el boletín de MS (KB2524375), el servicio Windows Update debe está configurado para descargar e instalar las actualizaciones de forma automática y periódica. O en su defecto descargar e instalar la actualización desde: http://support.microsoft.com/kb/2524375
En Windows al ejecutar certmgr.msc se puede comprobar el estado de la lista de Certificados en los que no se confía
Almacén de Certificados no confiables sin la actualización
Almacén de Certificados no confiables luego
de la actualización de hoy (kb2524375)
El origen de los certificados fraudulentos - Un ataque desde Irán
Comodo notificó recién ahora oficialmente el problema según se lee en http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html. Allí aclaran que al monitorear el tráfico de respuestas del protocolo OCSP no han detectado ningún intento de usar estos certificados.
También explican que el ataque al afiliado de Comodo, fue originado desde varias direcciones pero principalmente desde una IP de Irán de donde deducen que es originado el ataque. Comodo aclara que en este ataque no fueron comprometidas otras cuestiones más que las credenciales de un solo usuario y contraseña que usaron para poder emitir rápidamente los certificados mencionados. Lo cual demuestra que sabían exactamente lo que querían lograr y estaban preparados para eso.
Raúl de la redacción de Segu-Info en base a las fuentes
http://www.microsoft.com/technet/security/advisory/2524375.mspx
http://support.microsoft.com/kb/2524375
http://www.pcmag.com/article2/0,2817,2382518,00.asp
http://www.imperialviolet.org/2011/03/18/revocation.html
https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!