Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Error en validación de certificados permite falsificación de identidad

Error en validación de certificados permite falsificación de identidad

Por Leave a Comment

Un error en la validación de Certificados realizada por los sistemas
operativos de Microsoft puede permitir una gran variedad de ataques
de suplantación de personalidad o saltar cualquier autenticación
basada en certificados.
El estándar del perfil de los certificados X.509 define múltiples
campos adicionales que pueden ser incluidos en el certificado digital.
Uno de estos campos es el «Basic Constraints» empleado para indicar
las cadenas del certificado. Sin embargo, las APIs incluidas en
CryptoAPI que construyen y validan las cadenas de certificados
(CertGetCertificateChain(),CertVerifyCertificateChainPolicy() y
WinVerifyTrust() ) no comprueban el campo «Basic Constraints».

La vulnerabilidad puede permitir a un atacante que tenga un
certificado end-entity válido emitir un certificado dependiente que,
aunque sea falso, podrá a pesar de todo pasar la validación. Como la
CryptoAPI se emplea en diversas aplicaciones, esto permite una gran
variedad de ataques de suplantación de identidad. Como los siguientes:

– Configurar un sitio web que imite a otro sitio diferente, y «pruebe»
su identidad estableciendo una sesión SSL como el sitio web original.

– Enviar emails firmados empleando un certificado digital que
supuestamente pertenezca a un usuario diferente.

– Engañar a sistemas de autenticación basados en certificados para
conseguir acceso como usuario privilegiado.

– Firmar digitalmente programas maliciosos usando certificados
Authenticode que parezcan emitidos por una compañía en que los
usuarios confíen.

Microsoft publica parches para los productos afectados en las
siguientes direcciones:

Los parches publicados pueden descargarse desde las direcciones:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/328145USAM.EXE
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/default.asp
Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q328145/default.asp
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42562
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42558

En breve se publicarán las actualizaciones para:
– Windows 2000
– Microsoft Office v.X para Mac
– Microsoft Office 2001 para Mac
– Microsoft Office 98 para Macintosh
– Microsoft Internet Explorer para Mac (para OS 8.1 a 9.x)
– Microsoft Internet Explorer para Mac (para OS X)
– Microsoft Outlook Express 5.0.5 para Mac

Antonio Ropero
antonior@hispasec.com

Más información:

Boletín de seguridad Microsoft MS02-50
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.