Microsoft, Google y Mozilla advierten de Certificados fraudulentos usados en ataques
Hace apenas dos horas Google y Microsoft han advertido sobre ataques realizados con certificados fraudulentos para el dominio "*.google.com"emitidos por una entidad intermedia y que tienen como Autoridad Certificante raiz (CA) a la autoridad turca TurkTrust.
Google actualizó el 25 y el 26 de diciembre pasado en su navegador Chrome la información de revocación de certificados bloqueando asi la entidad intermedia utilizada y otras dos relacionadas. También alertó a TurkTrust y avisó a proveedores de otros navegadores. Las actualizaciones del navegador Chrome son automáticas.
Así mismo Microsoft emitió un boletín de advertencia y una actualización fuera de ciclo mensual para eliminar del almacen de certificados de los equipos Windows, los certificados CA no confiables. Además Mozilla también ha confirmado que el próximo 8 de enero revocará los certificados.
Se recomienda verificar que el navegador utilizado no contenga los certificados de CA no confiables descriptos tal como se describe en el boletín http://support.microsoft.com/kb/2798897
Referencias:
Como los certificados de las CA intermedias llevan toda la autoridad de la entidad emisora, se pueden utilizar para crear un certificado para cualquier sitio web que se desee suplantar. En este sentido, la compañía ha decidido actualizar Chrome nuevamente en enero para ya ni indicar el estado Extended Validation en certificados emitidos por TurkTrust, aunque dice que mantendrá como válidos los servicios HTTPS de la entidad.
Además, el certificado puede utilizarse para realizar ataques MitM permitiendo descifrar la comunicación entre el usuario y un sitio web cualquiera.
Raúl de la Redacción de Segu-Info
Google actualizó el 25 y el 26 de diciembre pasado en su navegador Chrome la información de revocación de certificados bloqueando asi la entidad intermedia utilizada y otras dos relacionadas. También alertó a TurkTrust y avisó a proveedores de otros navegadores. Las actualizaciones del navegador Chrome son automáticas.
Así mismo Microsoft emitió un boletín de advertencia y una actualización fuera de ciclo mensual para eliminar del almacen de certificados de los equipos Windows, los certificados CA no confiables. Además Mozilla también ha confirmado que el próximo 8 de enero revocará los certificados.
Se recomienda verificar que el navegador utilizado no contenga los certificados de CA no confiables descriptos tal como se describe en el boletín http://support.microsoft.com/kb/2798897
Referencias:
- Google - Enhancing digital certificate security
http://googleonlinesecurity.blogspot.com.ar/2013/01/enhancing-digital-certificate-security.html - Microsoft - Microsoft Security Advisory: Fraudulent digital certificates could allow spoofing
http://support.microsoft.com/kb/2798897 - Microsoft - Security Advisory 2798897 released, Certificate Trust List updated
http://blogs.technet.com/b/msrc/archive/2013/01/03/security-advisory-2798897-released-certificate-trust-list-updated.aspx - Turkish CA Issues Fraudulent Certificate For Google Domains Used In Active Attacks
- http://www.securityweek.com/turkish-ca-issues-fraudulent-certificate-google-domains
- Mozilla - Revoking Trust in Two TurkTrust Certificates
https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/ - Google, Microsoft, and Mozilla revoke two fraudulent Turkish certificates used in targeted attacks
http://thenextweb.com/google/2013/01/03/google-microsoft-and-mozilla-revoke-two-fraudulent-turkish-certificates-used-in-targeted-attacks/ - Google finds unauthorized certificate for google.com domain, scrambles to protect users
http://www.networkworld.com/news/2013/010313-google-finds-unauthorized-certificate-for-265479.html
Como los certificados de las CA intermedias llevan toda la autoridad de la entidad emisora, se pueden utilizar para crear un certificado para cualquier sitio web que se desee suplantar. En este sentido, la compañía ha decidido actualizar Chrome nuevamente en enero para ya ni indicar el estado Extended Validation en certificados emitidos por TurkTrust, aunque dice que mantendrá como válidos los servicios HTTPS de la entidad.
Además, el certificado puede utilizarse para realizar ataques MitM permitiendo descifrar la comunicación entre el usuario y un sitio web cualquiera.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!