Certificados Microsoft não autorizados

Certificados digitais X.509 emitidos pela autoridade de certificação Microsoft Terminal Services licensing certificate authority (CA) podem ser ilegitimamente utilizador para assinar código. Este problema foi descoberto no malware "Flame". A Microsoft já disponibilizou atualizações para revogar os certificados afetados.

Sistemas Operativos Implicados: MS Windows
Aplicações Implicadas: Microsoft Terminal Services licensing certificate authority

I. Descrição

O Microsoft Security Advisory (2718704) avisa sobre a possibilidade de ataques utilizando certificados ilegítimos emitidos pela autoridade de certificação (CA) Microsoft Terminal Services. Parece haver problemas devidos a criptografia fraca e configurações de utilização de certificados. Citando um "post" no blog da MSRC:

We identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft. Specifically, our Terminal Server Licensing Service, which allowed customers to authorize Remote Desktop services in their enterprise, used that older algorithm and provided certificates with the ability to sign code, thus permitting code to be signed as if it came from Microsoft.

Citando outro "post" no blog da MSRC:

What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsofts internal PKI infrastructure.

Foram divulgados os seguintes detalhes sobre os certificados afetados na Microsoft Security Advisory (2718704):

Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c \
52 b2 4e 70

Certificate: Microsoft Enforced Licensing Intermediate PCA
Issued by: Microsoft Root Authority
Thumbprint: 3a 85 00 44 d8 a1 95 cd 40 1a 68 0c 01 2c b0 a3 \
b5 f8 dc 08

Certificate: Microsoft Enforced Licensing Registration Authority
CA (SHA1)
Issued by: Microsoft Root Certificate Authority
Thumbprint: fa 66 60 a9 4a b4 5f 6a 88 c0 d7 87 4d 89 a8 63 \
d7 4d ee 97

II. Impacto

Um atacante pode obter um certificado que pode ser utilizado para assinar código ilegitimamente em nome da Microsoft. O código assinado pode, então, ser utilizado numa variedade de ataques nos quais o código parecerá ter sido validado pela Microsoft.

Um atacante pode oferecer software que aparenta ser assinado por uma cadeia de certificação Micrososft válida e fiável. Num "post" do blog da MSRC é registado o seguinte:

"...some components of the [Flame] malware have been signed by certificates that allow software to appear as if it was produced by Microsoft."

III. Solução

É importante agir rapidamente no sentido de revogar os certificados afetados. Quaisquer certificados emitidos pela autoridade de certificação (CA) Microsoft Terminal Services podem ser utilizados para propósitos ilegítimos e não são fiáveis.

Aplicar atualizações

Aplicar as versões apropriadas da KB2718704 no sentido de adicionar os certificados afetados à Untrusted Certificate Store. As atualizações chegarão mais utilizadores por via dos "updates" automáticos e Windows Server Update Services (WSUS).

Revogar os certificados afetados

Adicionar manualmente os certificados afetados à Untrusted Certificate Store.

IV. Referências

US-CERT Current Activity: Unauthorized Microsoft Digital Certificates -
https://www.us-cert.gov/current/#microsoft_unauthorized_digital_certificates

Microsoft Security Advisory (2718704) -
https://technet.microsoft.com/en-us/security/advisory/2718704

Unauthorized digital certificates could allow spoofing -
http://support.microsoft.com/kb/2718704

Microsoft certification authority signing certificates added to the Untrusted Certificate Store -
https://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

Microsoft releases Security Advisory 2718704 -
https://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx

Windows Server Update Services -
http://technet.microsoft.com/en-us/windowsserver/bb332157.aspx

Certutil -
http://technet.microsoft.com/en-us/library/cc732443%28v=ws.10%29.aspx

How to: View Certificates with the MMC Snap-in -
http://msdn.microsoft.com/en-us/library/ms788967.aspx

Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN
Participe Incidente

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email para comunicação de incidentes: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. ; Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

email para outros assuntos: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar. ; Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.

 

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

 

Filiação

FIRST
Membro da Rede Nacional CSIRTs