MS01-017: La existencia de certificados digitales incorrectos emitidos por VeriSign puede representar un riesgo para la realización de ataques de suplantación

Seleccione idioma Seleccione idioma
Id. de artículo: 293818 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

VeriSign, Inc. advirtió recientemente a Microsoft de que los días 29 y 30 de 2001 emitió dos certificados digitales de firma de código de Clase 3 de VeriSign a un individuo que, fraudulentamente, decía ser empleado de Microsoft. El nombre común asignado a ambos certificados es "Microsoft Corporation". La capacidad de firmar contenido ejecutable utilizando claves que pretenden pertenecer a Microsoft podría ser aprovechada por un usuario malintencionado que quisiera convencer a los usuarios para que permitan ejecutar el contenido.

Los certificados podrían utilizarse a la firma de programas, controles ActiveX, macros de Microsoft Office y otros contenidos ejecutables. De éstos, los que plantearían un riesgo mayor serían los controles de ActiveX y las macros de Office, pues los escenarios de ataque serían los más directos. Tantos controles de ActiveX y los documentos de Microsoft Word pueden ser entregados por páginas Web o en mensajes de correo electrónico HTML. Los controles ActiveX pueden ser invocados automáticamente por una secuencia de comandos y los documentos de Word pueden ser abiertos automáticamente por una secuencia de comandos a menos que haya aplicado la herramienta de confirmación de abrir documento de Microsoft Office.

Aunque los certificados afirman que son propiedad de Microsoft, no son certificados de Microsoft auténticos y no hay que confiar de manera predeterminada en el contenido firmado por ellos. La confianza se define certificado por certificado, no por el nombre común. Por tanto, debería mostrarse un mensaje de advertencia antes de ejecutar cualquier contenido firmado, incluso aunque previamente haya aceptado confiar en otros certificados con el nombre común "Microsoft Corporation". El peligro está en que incluso un usuario consciente de la seguridad podría aceptar la ejecución del contenido, aceptando confiar siempre en los certificados fraudulentos.

VeriSign ha revocado los certificados, que se encuentran en la Lista de revocación de certificados (CRL) de VeriSign actual. Sin embargo, como los certificados de firma de código de VeriSign no especifican un Punto de distribución de CRL (un CDP), no es posible que cualquier mecanismo de comprobación de CRL del explorador descargue la CRL de VeriSign y la use. Microsoft ha desarrollado una actualización que rectifica este problema. El paquete de actualización incluye un CRL que contiene los dos certificados, así como un controlador de revocación instalable que consulta la CRL desde el equipo local, en lugar de intentar usar el mecanismo de CDP.

Para obtener información adicional acerca de esta actualización, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
293811 Update Available to Revoke Fraudulent Microsoft Certificates Issued by VeriSign

Más información

Factores atenuantes

  • No se confía en los certificados de manera predeterminada. Por tanto, no se debe ejecutar código ni controles ActiveX sin mostrar un mensaje de advertencia. Al ver el certificado en esos mensajes, puede reconocer fácilmente los certificados.
  • No son los certificados de firma de código auténticos de Microsoft. El contenido que ha sido firmado por esas claves se puede distinguir del contenido real de Microsoft.
Para obtener información adicional acerca de cómo revocar el estado de confianza para estos certificados, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
293816 How to Determine Whether You Have Accepted Trust for Fraudulent VeriSign-Issued Certificates
Para obtener información adicional, consulte el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx
Los usuarios de Windows NT Server 4.0, Terminal Server Edition pueden obtener el paquete de continuación de seguridad (SRP) para Windows NT Server 4.0 Terminal Server Edition. Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Propiedades

Id. de artículo: 293818 - Última revisión: jueves, 16 de noviembre de 2006 - Versión: 1.4
La información de este artículo se refiere a:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Service Pack 1 de Microsoft Windows 2000
  • Microsoft Windows 2000 Advanced Server
  • Service Pack 1 de Microsoft Windows 2000
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Service Pack 5 de Microsoft Windows NT Workstation 4.0
  • Service Pack 6.a de Microsoft Windows NT 4.0
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Service Pack 5 de Microsoft Windows NT Workstation 4.0
  • Service Pack 6.a de Microsoft Windows NT 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palabras clave: 
kbinfo kbsecurity kb3rdparty kbsechack KB293818

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com