Microsoft interviene per bloccare nove certificati digitali

Nelle scorse ore Microsoft ha provveduto a rilasciare una patch “out-of-band“. Si chiamano così gli aggiornamenti che vengono distribuiti in anticipo rispetto al giorno scelto per la pubblicazione dei bollettini di sicurezza (il secondo martedì del mese). L’analisi tecnica elaborata dai tecnici del colosso di Redmond è disponibile in questa pagina. Come spiega Feliciano Intini (ved. queste note), responsabile dei programmi di sicurezza e privacy di Microsoft Italia, l’aggiornamento KB2524375 consente di inserire nella “black list” (“Untrusted certificate store“) di Windows nove certificati digitali che potrebbero essere utilizzati, in modo fraudolento, per condurre attacchi phishing persuadendo l’utente di trovarsi in uno dei seguenti siti: login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org e “Global Trustee“.

Stando alle prime indiscrezioni, l’acquisizione indebita dei certificati digitali potrebbe avere matrice iraniana. “Riteniamo che questi attacchi abbiano una motivazione politica e possano essere sponsorizzati a livello statale“, ha commentato (ved. questa pagina) Melih Abdulhayoglu, CEO e fondatore di Comodo, l’azienda che ha emesso i certificati. Ma qual è la nazione che avrebbe sostenuto una simile aggressione? “Abbiamo rilevato nell’Iran una delle origini dell’attacco. Ciò che è stato ottenuto potrebbe permettere ad un pirata informatico di intercettare tutte le comunicazioni basate sul web e tramite email e l’unico modo in cui tutto ciò può essere ottenuto è avendo accesso all’infrastruttura nazionale dei DNS (e crediamo che questo potrebbe essere il caso). Ovviamente questa è soltanto la nostra interpretazione“, ha chiarito Abdulhayoglu.

Secondo quanto si apprende nella nota ufficiale di Comodo (ved. questo articolo), a firma di Phillip Hallam-Baker, una società affiliata a Comodo avrebbe emesso, lo scorso 15 marzo, nove certificati SSL facenti riferimento, complessivamente, a sette domini di proprietà di importanti realtà quali Microsoft, Google, Yahoo, Skype e Mozilla. L’incidente sarebbe occorso, appunto, all’interno della struttura di un’azienda collegata a Comodo ed incaricata di effettuare una prima validazione sulle richieste di emissione dei certificati.
I certificati sarebbero stati prontamente invalidati segnalando la “compromissione” ai proprietari dei vari domini coinvolti, ai produttori dei principali browser web ed alle autorità governative.

Per disabilitare i certificati fasulli, si era immediatamente attivata Google, la scorsa settimana, pubblicando l’aggiornamento 10.0.648.151 di Chrome. Eguale operazione è stata messa in campo da Mozilla (ved. questa pagina) mentre nelle scorse ore ha provveduto anche Microsoft con un aggiornamento destinato agli utenti di tutte le versioni di Windows supportate (Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2).