hit counter
Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

  • Comments 6
  • Likes

[English readers: you can find English links in this post for your convenience]

Microsoft ha appena rilasciato un Security Advisory per segnalare ai clienti l’esistenza di 9 Certificati Digitali fraudolenti emessi da Comodo, un azienda che fornisce certificati digitali e che è presente come Trusted Root Certification Authority in tutte le versioni attualmente supportate di Windows:

MSRC > Microsoft Releases Security Advisory 2524375

Microsoft Security Advisory (2524375) - Fraudulent Digital Certificates Could Allow Spoofing

Il rischio di questa minaccia consiste nella possibilità di accettare come validi i certificati che possono essere proposti da siti pericolosi che tentino di simulare i seguenti siti web (la situazione tipica è per attacchi di Phishing): 

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 certificates)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

Questi certificati digitali sono già inclusi nella CRL di Comodo (Certificate Revocation List, la lista dove una CA pubblica i certificati non più validi e che ogni applicazione può consultare per verificare la validità di un certificato), ma per fornire agli utenti il modo più efficace di essere protetti da questa minaccia, Microsoft ha reso disponibile un aggiornamento che essenzialmente inserisce tali certificati nella lista dei Certificati invalidi mantenuta da Windows (Untrusted certificate store).

Questo aggiornamento verrà reso disponibile tramite Windows Update e quindi non dovrebbe servire alcuna azione per coloro che hanno lasciato abilitato il meccanismo degli Aggiornamenti Automatici (consultate l’articolo 294871 se avete bisogno di chiarimenti). In ogni caso l’aggiornamento è scaricabile anche manualmente dal Microsoft Download Center (consultare il Microsoft Knowledge Base Article 2524375 per i link dettagli). 

Come si può leggere dal report dell’incidente pubblicato da Comodo, che vi invito a leggere, da un lato il problema è stato rapidamente individuato e sono stati subito revocati i 9 certificati, dall’altro solo di un certificato si ha l’evidenza di una prova di test da parte di chi ha effettuato questo attacco, partito dall’Iran: la conclusione della loro analisi apre un nuovo scenario di CyberSecurity War…

“… The circumstantial evidence suggests that the attack originated in Iran …All of the above leads us to one conclusion only:- that this was likely to be a state-driven attack

Aggiornamento del 24/03/2011: segnalo anche il post di Comodo:

IT Security Comodo Blog: The Recent RA Compromise

Aggiornamento del 25/03/2011: dopo aver letto diversi online sull’argomento ci tengo a fare chiarezza sul fatto che l’aggiornamento reso disponibile non è una patch e non si tratta di un rilascio di un bollettino straordinario, semplicemente perché il problema non risiede in una vulnerabilità del software Microsoft, quindi non c’è nulla da fissare: l’aggiornamento è solo un modo per aumentare la tutela degli utenti rispetto al rischio di accettare come valido un certificato carpito in modo fraudolento da una Certification Authority valida, quale quella di Comodo.

Aggiornamento del 28/03/2011: se questo #Comodogate vi appassiona, ecco l’ultima news: sembra esser uscito allo scoperto l’hacker autore dell’attacco che dichiara di aver fatto tutto da solo, grazie alla scoperta di credenziali in chiaro (!!!) trovate disassemblando una DLL usata dal sito italiano InstantSSL.it (!!!) partner di Comodo. Non tutti sembrano credere a questa versione, soprattutto alla luce dei domini per i quali sono stati richiesti questi certificati, non certo utili per interessi personali…

NakedSecurity Blog: Comodo hacker outs himself, claims no relation to Iranian Cyber Army

Computerworld: Iranian hacker claims Comodo attack

Feliciano

Other related posts/resources:

Comments
  • e quindi? e' opportuno installare questo aggiornamento ho possiamo anche tralasciarlo?

  • Aggiorna sempre gli update importanti.

  • Se sommiamo questo all'attacco ad RSA di questi giorni, lo scenario CYBERWAR è sempre più reale ed inquietante, che ne pensi Feliciano?

  • Grazie Andrea per aver rammentato un consiglio di validità universale, che sto cercando di diffondere da sempre, vedi il mio 3° post del gennaio 2007: blogs.technet.com/.../il-dilemma-delle-patch-di-sicurezza_2e00__2e00__2e00_.aspx

    Ciao Pupo, mi sento di poter dire che lo scenario CyberWar non è tanto sempre più reale, quanto sempre più evidente al grande pubblico, mentre fino ad ora era sommerso e underground... magari questo aiuterà a prendere coscienza dell'urgenza di un piano strutturato nazionale in tema CyberSecurity e Protezione delle Infrastrutture Critiche...

  • Sinceramente non mi stupisce dopo la scarsa attenzione già dimostrata da diverse CA sull'argomento sicurezza. Ne avevo parlato qui:

    blogs.ugidotnet.org/.../certificati-root-e-verisign.-giocare-con-il-fuoco-egrave-nulla.aspx

    e qui:

    blogs.ugidotnet.org/.../certificati-root-il-problema-egrave-su-vasta-scala.aspx

    Comodo permette a tutt'oggi di scaricare le root via http:

    www.instantssl.com/.../rootcerts.html

    Il che significa che con un semplice attacco di man in the middle è possibile intercettare il download e far installare una CA farlocca al posto di quella vera. Se questo attacco riesce (e non è complesso) qualsiasi certificato emesso dall'hacker che fa l'attacco viene considerato valido e non c'è CRL che tenga.

    L'unico rimedio è la consapevolezza di chi *usa* il web.

  • Come sai, appassionato di computers, tanto da essere diventato punto di riferimento, pur non essendo un tecnico, dei miei amici che hanno prolemi con le loro macchine, e sensibile in primis ai problemi di sicurezza, apprezzo molto la tempestività con cui, e ultimamente anche in tempi molto rapidi, Microsoft è impegnata a risolvere le relative vulnerabilità.

    Vorrei però sapere, notandolo sulle mie macchine, se è possibile che l'aggiornamento di cui sopra, come penso di aver intuito, possa causare un rallentamento delle prestazioni di velocità dei browser, che in particolare noto molto su Internet Explorer 9.

    Presumendo infatti, ma attendo da Te conferma, che nella patch sia incluso un tool che effettui la scansione dei siti visitati, ad evitare fraudolenti reindirizzamenti, penso che tutto ciò sia dovuto alla necessità di farne una preventiva scansione.

    Preciso poi che uso, come antivirus residente, Norton 360 5.0, che ha anch'esso una funzionalità di sito ok o fallocco (Norton Toolbar) che, mi auguro non contrasti con il KB 2524375 , di cui stiamo parlando.

    Spero tu voglia dare riscontro al mio post e, nel frattempo saluto te, ed il tuo stimatissimo staff.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment