Microsoft, pericolo certificati SSL per Windows e Windows Phone

Microsoft, in collaborazione con iFixit insegna a riparare i device

Microsoft, pericolo certificati SSL per Windows e Windows Phone

Nel corso degli ultimi giorni Microsoft ha aggiornato la CTL (Certificate Trust List) su tutte le versioni di Windows e Windows Phone supportate al fine di eliminare alcuni certificati SSL rilasciati impropriamente dal National Informatics Centre in India che potrebbero essere utilizzati per eseguire attacchi spoofing, phishing e man-in-the-middle.

Per motivi che allo stato attuale delle cose sono ancora da chiarire la Certification Authority (CA) del governo indiano ha emesso diversi certificati SSL relativi a noti domini, principalmente Google e Yahoo.

Diversamente da Google Microsoft ha però incluso questa CA nel suo Trusted Root Store e di conseguenza tra le CA affidabili.

Grazie al Google Chrome Security Team che ha scoperto il problema anche Microsoft ha aggiornato la CTL e rimosso tutti i certificati fasulli.

Gli utenti, quindi, adesso sono al sicuro e non rischiano di cadere nelle trappole di eventuali malintenzionati che avrebbero potuto usare i certificati per compiere vari tipi di attacchi informatici.

Coloro che utilizzano usano Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Phone 8 e Windows Phone 8.1 non devono compiere nessuna azione poiché la lista dei certificati verrà aggiornata in modo automatico. Gli utenti che invece utilizzano Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 dovrebbero essere già protetti. In tutti i casi per verificare se la CTL è stata aggiornata è sufficiente cercare l’evento ID 4112 nel Visualizzatore Eventi. Nella descrizione è riportata la frase “Aggiornamento automatico elenco certificati non consentiti riuscito con data di validità: giovedì 3 luglio 2014″. Qualora non fosse visualizzato l’evento sarà nvecessario installare l’aggiornamento automatico dei certificati revocati.

Da notare che tra i prodotti interessati non figura Windows XP, un dato questo che suggerisce ancora una volta di abbandonare l’oramai vetusto sistema operativo.

  • 15/07/2014