Un error en la validación de Certificados realizada por los sistemas
operativos de Microsoft puede permitir una gran variedad de ataques
de suplantación de personalidad o saltar cualquier autenticación
basada en certificados.
El estándar del perfil de los certificados X.509 define múltiples
campos adicionales que pueden ser incluidos en el certificado digital.
Uno de estos campos es el «Basic Constraints» empleado para indicar
las cadenas del certificado. Sin embargo, las APIs incluidas en
CryptoAPI que construyen y validan las cadenas de certificados
(CertGetCertificateChain(),CertVerifyCertificateChainPolicy() y
WinVerifyTrust() ) no comprueban el campo «Basic Constraints».
La vulnerabilidad puede permitir a un atacante que tenga un
certificado end-entity válido emitir un certificado dependiente que,
aunque sea falso, podrá a pesar de todo pasar la validación. Como la
CryptoAPI se emplea en diversas aplicaciones, esto permite una gran
variedad de ataques de suplantación de identidad. Como los siguientes:
– Configurar un sitio web que imite a otro sitio diferente, y «pruebe»
su identidad estableciendo una sesión SSL como el sitio web original.
– Enviar emails firmados empleando un certificado digital que
supuestamente pertenezca a un usuario diferente.
– Engañar a sistemas de autenticación basados en certificados para
conseguir acceso como usuario privilegiado.
– Firmar digitalmente programas maliciosos usando certificados
Authenticode que parezcan emitidos por una compañía en que los
usuarios confíen.
Microsoft publica parches para los productos afectados en las
siguientes direcciones:
Los parches publicados pueden descargarse desde las direcciones:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/328145USAM.EXE
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/default.asp
Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q328145/default.asp
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42562
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42558
En breve se publicarán las actualizaciones para:
– Windows 2000
– Microsoft Office v.X para Mac
– Microsoft Office 2001 para Mac
– Microsoft Office 98 para Macintosh
– Microsoft Internet Explorer para Mac (para OS 8.1 a 9.x)
– Microsoft Internet Explorer para Mac (para OS X)
– Microsoft Outlook Express 5.0.5 para Mac
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft MS02-50
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp
Deja una respuesta