Microsoft, Google y Mozilla advierten de Certificados fraudulentos usados en ataques

Hace apenas dos horas Google y Microsoft han advertido sobre ataques realizados con certificados fraudulentos para el dominio "*.google.com"emitidos por una entidad intermedia y que tienen como Autoridad Certificante raiz (CA) a la autoridad turca TurkTrust.

Google actualizó el 25 y el 26 de diciembre pasado en su navegador Chrome la información de revocación de certificados bloqueando asi la entidad intermedia utilizada y otras dos relacionadas. También alertó a TurkTrust y avisó a proveedores de otros navegadores. Las actualizaciones del navegador Chrome son automáticas.

Así mismo Microsoft emitió un boletín de advertencia y una actualización fuera de ciclo mensual para eliminar del almacen de certificados de los equipos Windows, los certificados CA no confiables. Además Mozilla también ha confirmado que el próximo 8 de enero revocará los certificados.

Se recomienda verificar que el navegador utilizado no contenga los certificados de CA no confiables descriptos tal como se describe en el boletín http://support.microsoft.com/kb/2798897

Referencias:

• Google - Enhancing digital certificate security
  http://googleonlinesecurity.blogspot.com.ar/2013/01/enhancing-digital-certificate-security.html
• Microsoft - Microsoft Security Advisory: Fraudulent digital certificates could allow spoofing
  http://support.microsoft.com/kb/2798897
• Microsoft - Security Advisory 2798897 released, Certificate Trust List updated
  http://blogs.technet.com/b/msrc/archive/2013/01/03/security-advisory-2798897-released-certificate-trust-list-updated.aspx
• Turkish CA Issues Fraudulent Certificate For Google Domains Used In Active Attacks
• http://www.securityweek.com/turkish-ca-issues-fraudulent-certificate-google-domains
• Mozilla - Revoking Trust in Two TurkTrust Certificates
  https://blog.mozilla.org/security/2013/01/03/revoking-trust-in-two-turktrust-certficates/
• Google, Microsoft, and Mozilla revoke two fraudulent Turkish certificates used in targeted attacks
  http://thenextweb.com/google/2013/01/03/google-microsoft-and-mozilla-revoke-two-fraudulent-turkish-certificates-used-in-targeted-attacks/
• Google finds unauthorized certificate for google.com domain, scrambles to protect users
  http://www.networkworld.com/news/2013/010313-google-finds-unauthorized-certificate-for-265479.html

Actualización: al parecer TurkTrust emitió erróneamente dos certificados intermedios (*.EGO.GOV.TR y e-islam.kktcmerkezbankasi.org) y el archivo de la primera CA se utilizó para emitir un certificado digital fraudulento a nombre de *.Google.com.

Como los certificados de las CA intermedias llevan toda la autoridad de la entidad emisora, se pueden utilizar para crear un certificado para cualquier sitio web que se desee suplantar. En este sentido, la compañía ha decidido actualizar Chrome nuevamente en enero para ya ni indicar el estado Extended Validation en certificados emitidos por TurkTrust, aunque dice que mantendrá como válidos los servicios HTTPS de la entidad.

Además, el certificado puede utilizarse para realizar ataques MitM permitiendo descifrar la comunicación entre el usuario y un sitio web cualquiera.

Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín