AVISAN CONTRA CERTIFICADOS FALSOS
DE MICROSOFT
Mercè Molist
Los certificados digitales,
usados para autentificar parches, controles ActiveX y otros programas que
se bajan de la red, se han convertido en un nuevo dolor de cabeza para
Microsoft. A finales de enero, un supuesto empleado de esta compañía
consiguió que la empresa Verisign le asignase dos de estos certificados
para firmar programas, como si fuesen originados por Microsoft. Así,
alguien podría instalar en su ordenador código supuestamente
legítimo sin serlo.
Microsoft y el Computer Emergency Response Team publicaron la semana pasada sendos comunicados, al descubrirse el problema: "El 29 y 30 de enero del 2001, Verisign Inc. emitió dos certificados a una persona que fraudulentamente aseguraba ser un empleado de la Corporación Microsoft. Cualquier código firmado por estos certificados aparecerá como legítimamente proveniente de Microsoft, cuando no lo es", explica el aviso del CERT, que achaca el problema al "fallo de una autoridad de certificación para autentificar correctamente al receptor de un certificado", lo que demuestra la debilidad del sistema global de certificación electrónica.
Según el CERT, "cualquiera, con estos certificados, puede firmar código como si fuese originado por la Microsoft Corporation. Si el usuario aprueba su ejecución, el código puede llevar a cabo acciones en el sistema, con los privilegios del usuario", la consiguiente amenaza de instalación de puertas traseras en el ordenador y fuga de información. La solución es chequear cualquier certificado que venga de Microsoft, fijándose en el período de validez: si empieza el 29 o 30 de enero, el certificado es falso.
Verisign ha reconocido
que se trató de "un error humano, no detectamos que aquella persona
actuaba como si trabajase para Microsoft cuando, en realitat, no lo hacía".
Microsoft, por su parte, ha puesto el caso en manos del FBI. Los controles
ActiveX y las macros de Office son los que representan un mayor riesgo,
aunque no es posible que se "cuele" uno de estos certificados sin avisar
antes. Según el aviso de la compañía, el problema
viene porque, aunque Verisign ha revocado los certificados, "los programas
navegadores no llevan un mecanismo para ponerse en contacto con Verisign
y comprobarlo".
Microsoft Bulletin
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
Verisign
http://www.verisign.com/developer/notice/authenticode/index.html
CERT
http://www.cert.org/advisories/CA-2001-04.html