[SECURITY-L] Bug grave no Windows permite falsificar certificados digitais

[Daniela Regina Barbetti Silva]

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Bug grave no Windows permite falsificar certificados digitais 
To: daniela em ccuec.unicamp.br
Date: Wed, 04 Sep 2002 17:20:34 GMT


Bug grave no Windows permite falsificar certificados digitais 

Quarta-feira, 4 de Setembro de 2002 - 09h45 

IDG Now!

Um pesquisador independente que no mês passado anunciou uma falha de
segurança no software de criptografia da Microsoft agora diz que a mesma
vulnerabilidade pode ser utilizada para falsificar assinaturas digitais em
um e-mail enviado por usuários do Outlook. 
O especialista afirma que hackers podem criar algo parecido com uma
mensagem protegida e enganar o receptor utilizando o Outlook para ele
acreditar que está mantendo uma conversa segura com a outra parte. "Não há
diferença entre e-mails assinados ou não no Outlook", comentou Mike Benham.
"Por mais ou menos cinco anos as pessoas no ambiente corporativo acham que
estão trocando mensagens com segurança utilizando o Outlook, mas não é
verdade." 

Um porta-voz da Microsoft disse que a companhia está consciente da nova
falha e que irá investigar o caso. De acordo com o especialista, as
Secure/Multipurpose Internet Mail Extensions (S/MIME), um padrão
considerado seguro para correio eletrônico criado pela Internet Engineering
Task Force, é suscetível ao bug. 

Uma fonte que preferiu não ser identificada confirmou que um produto
chamado MailSecure, que tem um plugin para o Outlook, foi testado e também
se mostrou vulnerável ao problema. O software foi originalmente
comercializado pela Baltimore Technologies mas vendido neste ano para a
australiana SecureNet. 

O ataque permite a pessoas mal-intencionadas criar um certificado de
segurança falso que pode ser utilziado para assinar um e-mail digitalmente.
Quando um usuário abre o correio eletrônico, o software não confere a
validade do certificado e apresenta a mensagem como uma comunicação ssinada
digitalmente. Um exemplo prático: um hacker fora da corporação pode fazer
um e-mail se passando pelo endereço do presidente da companhia (prática
conhecida por spoof) e utilizar um certificado de mentira para assinar
digitalmente uma mensagem enviada a um funcionário avisando sobre sua
demissão. 

Um mês atrás, quando o especialista descobriu o bug original, que a
Microsoft já disposnibilizou a correção, a empresa de Bill Gates verificou
a existência do problema, mas disse que afetava apenas o Internet Explorer.
A Microsoft está trabalhando em correções para o Windows 98, ME, NT4, 2000
e XP. 

Mas Benham prosseguiu com testes e descobriu que a vulnerabilidade afeta o
Outlook Express 5 rodando no Windows 2000 com Service Pack 3. Ele ainda não
sabe se todas as versões do Outlook estão suscetíveis, mas acredita que
seja bem provável que sim. 

O bug - que reside no mecanismo de criptografia do sistema operacional -
não valida certificados SSL. Isso significa que o software não confere a
validade dos certificados utilizados para propostas de segurança. Para se
livrar desse tipo de ataque, os usuários precisam inspecionar manualmente a
validação dos certificados digitais que chegam a suas caixas postais
eletrônicas. 

[ John Fontana - Network World Fusion ]



Fonte:  IDG Now - http://idgnow.terra.com.br/idgnow/internet/2002/09/0009




Caio Souza Mendes

----- End forwarded message -----