[HACK] certificados falsos

merce at grn.es merce at grn.es
Fri Mar 30 10:19:12 CEST 2001 

otro del ciberpais semanal


M&M

-----------------------------------------------------------------

16:38 23/03/01


AVISAN CONTRA CERTIFICADOS FALSOS DE MICROSOFT


Mercè Molist
Los   certificados   digitales,   usados  para  autentificar  parches,
controles  ActiveX  y  otros  programas que se bajan de la red, se han
convertido  en  un  nuevo dolor de cabeza para Microsoft. A finales de
enero,  un supuesto empleado de esta compañía consiguió que la empresa
Verisign  le asignase dos de estos certificados para firmar programas,
como  si fuesen originados por Microsoft. Así, alguien podría instalar
en su ordenador código supuestamente legítimo sin serlo.

Microsoft  y  el Computer Emergency Response Team publicaron la semana
pasada  sendos comunicados, al descubrirse el problema: "El 29 y 30 de
enero  del  2001,  Verisign Inc. emitió dos certificados a una persona
que  fraudulentamente  aseguraba  ser  un  empleado  de la Corporación
Microsoft.  Cualquier  código firmado por estos certificados aparecerá
como legítimamente proveniente de Microsoft, cuando no lo es", explica
el  aviso  del CERT, que achaca el problema al "fallo de una autoridad
de  certificación  para  autentificar  correctamente al receptor de un
certificado",  lo  que  demuestra  la  debilidad del sistema global de
certificación electrónica.

Según  el  CERT,  "cualquiera,  con  estos  certificados, puede firmar
código  como  si  fuese  originado por la Microsoft Corporation. Si el
usuario  aprueba  su ejecución, el código puede llevar a cabo acciones
en  el  sistema,  con  los  privilegios  del usuario", la consiguiente
amenaza  de  instalación de puertas traseras en el ordenador y fuga de
información.  La  solución es chequear cualquier certificado que venga
de  Microsoft,  fijándose en el período de validez: si empieza el 29 o
30 de enero, el certificado es falso.

Verisign ha reconocido que se trató de "un error humano, no detectamos
que  aquella  persona actuaba como si trabajase para Microsoft cuando,
en  realitat, no lo hacía". Microsoft, por su parte, ha puesto el caso
en manos del FBI. Los controles ActiveX y las macros de Office son los
que  representan  un mayor riesgo, aunque no es posible que se "cuele"
uno  de  estos  certificados  sin  avisar  antes. Según el aviso de la
compañía,  el  problema  viene porque, aunque Verisign ha revocado los
certificados,  "los  programas navegadores no llevan un mecanismo para
ponerse en contacto con Verisign y comprobarlo".


Microsoft Bulletin
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
Verisign
http://www.verisign.com/developer/notice/authenticode/index.html
CERT
http://www.cert.org/advisories/CA-2001-04.html

More information about the hacking mailing list