Site Meter Nossos Agradecimentos no Boletim MS09-007 - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Nossos Agradecimentos no Boletim MS09-007

Nossos Agradecimentos no Boletim MS09-007

  • Comments 3
  • Likes

Muitos de vocês talvez tenham reparado na presença da Secretaria da Fazenda do Estado do Rio Grande do Sul e da PROCERGS nos agradecimentos dos boletins de segurança deste mês. Gostaríamos de contar aqui um pouco do que está por trás disto e reforçar a nossa gratidão à equipe destes dois órgãos.

 

image

Há três meses atrás a equipe de segurança da Microsoft Brasil foi comunicada pela SEFAZ-RS e pela PROCERGS de uma situação onde era possível fazer um ataque de falsificação (spoofing) usando certificados digitais. Este ataque somente era possível sob condições bem específicas, mas um se bem sucedido poderia comprometer a presunção de confiança e de não-repúdio fornecido pela PKI, em especial aqui no Brasil pela ICP-Brasil.

A Microsoft Brasil acionou imediatamente o Microsoft Security Response Center, que reproduziu o problema e identificou a falha no componente SChannel do Windows, responsável pela implementação do protocolo SSL/TLS. A partir daí foi possível inicialmente identificar um workaround que resolvia provisoriamente o problema, e em paralelo o desenvolvimento da correção que foi divulgada ontem.

Durante todo este período as equipes da SEFAZ-RS e PROCERGS forneceram detalhes técnicos sobre vulnerabilidade, colaboraram para a identificação de uma condição de contorno e apoiaram no que foi necessário o desenvolvimento da correção. Mais do que isso, mostraram uma maturidade admirável nos seus processos de comunicação interna e resposta a incidentes, mantendo todas as informações relativas a esta vulnerabilidade restritas apenas aos grupos que precisavam ter conhecimento e ajudando assim a proteger todos os outros usuários.

Obrigado mais uma vez a toda a equipe da SEFAZ-RS e da PROCERGS, e para o Instituto Nacional de Tecnologia da Informação (ITI) pelo apoio prestado. E se você utiliza certificados digitais, instale a atualização MS09-007 o mais rapidamente possível para se proteger desta vulnerabilidade.

Comments
  • Não é a primeira vez que brasileiros reportam falhas para a Microsoft e nunca teve uma entrada no blog, mas tudo bem, não tenho inveja. O problema é quando reporta, a falha não é classificada como crítica, simplesmente porque o time da microsoft não analisou a falha como deveria (eles querem o PoC funcional, não basta crash!) e depois eles corrigem a falha silenciosamente, sem dar créditos. Ou seja, o pesquisador gasta tempo para identificar a falha e a mesma não tem o devido reconhecimento, apenas porque precisava de um exploit funcional para provar que a falha de fato existia.

    Talvez nas próximas vezes é melhor publicar nas listas de segurança, assim como alguns fazem, e depois deixar a microsoft correr atras do patch, desesperadamente, pois alguns worms estão explorando a falha que ainda não tem correção.

    Mas acho louvável termos responsible disclosure no Brasil.

    Att

  • Filipe, para reportar uma vulnerabilidade para a Microsoft não é necessário fornecer um PoC funcional. Procuramos dar crédito a todos os pesquisadores que trabalharam conosco para solucionar o problema, exatamente como foi feito desta vez.

    Abraços, -- Fernando Cima

  • Após o nosso post sobre os agradecimentos no boletim MS09-007 nós recebemos vários e-mails (e alguns

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment