[English readers: you can find English links in this post for your convenience]

Sintesi / Abstract (per tutti coloro che intendono essere informati senza troppi tecnicismi)

Ieri sera, contemporaneamente alla consueta anticipazione del rilascio di sicurezza previsto per martedì prossimo (sono in arrivo i primi 7 bollettini di sicurezza del 2013), Microsoft ha pubblicato anche un Security Advisory che segnala la scoperta di un certificato digitale fraudolento che è attivamente utilizzato per attacchi contro alcuni servizi web di Google. Il Security Advisory indica le raccomandazioni per proteggersi da questa minaccia, distinguendole in base alla versione di sistema operativo Windows in uso:

  • chi dispone delle ultime versioni, ossia Windows 8, Windows RT, Windows Server 2102 e Windows Phone 8, non deve fare nulla: tali versioni sono attrezzate nativamente con la funzionalità di controllo automatico dei certificati revocati.
  • non deve far nulla anche chi ha manualmente installato la predetta funzionalità che è stata resa disponibile come un add-on da scaricare (vedi articolo http://support.microsoft.com/kb/2677070) per le versioni Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.
  • chi non avesse installato questo “automatic updater for revoked certificates” o disponesse di versioni su cui questo updater non è disponibile (Windows XP e Windows Server 2003) deve provvedere ad installare con urgenza l’aggiornamento 2798897 citato nel Security Advisory, e farlo nel solito modo: utilizzando Microsoft Update (come fanno gli utenti finali) o installandolo manualmente/con sistemi di system management (per le realtà aziendali).

Maggiori dettagli tecnici / More technical details

I post Microsoft che descrivono la problematica e forniscono le raccomandazioni:

Microsoft Security Advisory (2798897) - Fraudulent Digital Certificates Could Allow Spoofing

MSRC Blog > Security Advisory 2798897 released, Certificate Trust List updated

Il post del collega italiano che lavora a Redmond proprio nel MSRC:

Gerardo Di Giacomo (MSRC) > Rilasciato il Security Advisory 2798897, aggiornata la Certificate Trust List

Vi riporto anche il post di Google che descrive la scoperta del problema e le contromisure da loro adottate lato Chrome, così come le contromisure adottate da Mozilla per Firefox.

Altri articoli sulla problematica:

Brian Krebs > Turkish Registrar Enabled Phishers to Spoof Google

Freedom To Tinker > Turktrust Certificate Authority Errors Demonstrate The Risk of “Subordinate” Certificates

Emil Protalinski (The Next Web) > Google, Microsoft, and Mozilla revoke two fraudulent Turkish certificates used in targeted attacks

Feliciano

Other related posts/resources: