Según informa Microsoft, nueve certificados digitales emitidos por Comodo, autoridad certificadora presente en el contenedor raíz de entidades emisoras de confianza (Trusted Root Certification Authorities Store) en todas las versiones de Microsoft Windows, podrían ser fraudulentos y ser utilizados para suplantar identidades, llevar a cabo ataques phishing y de hombre en medio (man-in-the-middle).
Los navegadores incluyen una «lista negra» de certificados que han sido comprometidos o bien que ya no autentican a la persona o entidad que lo usa. Cuando se presentan nuevos certificados comprometidos los navegadores necesitan ser actualizados con los mismos para reflejar las Web maliciosas que pueden hacer uso de dichos certificados para suplantar la identidad y llevar a cabo acciones delictivas. Al parecer la lista de certificados que están involucrados en este incidente abarca una gran cantidad de servicios legítimos incluyendo a Google, Google Mail, Yahoo, Hotmail de Microsoft/Live Mail, add-ons de Mozilla.
Los usuarios que no utilizan navegadores actualizados pueden ser dirigidos a sitios Web maliciosos que disponen de un certificado fraudulento y demostrar su identidad falsa. Por ejemplo, alguien con un certificado fraudulento podría crear un sitio web y atraer a gente a dicha Web de tal forma que aquellos usuarios que no dispongan de los últimos certificados revocados no serán advertidos por el navegador de que no es quien dice ser.
Según informa Comodo, un atacante comprometió una cuenta en una RA (Registration Authority o Autoridad de Registro) y creó un nuevo userID de la Autoridad de Registro para acto seguido generar el CSR («Certificate Signing Request», petición de firma de certificado) de una serie de certificados. Al parecer el ataque se origino de diversas direcciones IP, algunas desde Irán.
Comodo ya ha revocado los certificados y actualmente se encuentran incluidos en la lista de certificados revocados (CRL). Además, los navegadores que soportan el OSCP (Online Certificate Status Protocol, protocolo utilizado para obtener el estado de revocación de un certificado digital) podrán comprobar de forma interactiva la validez de los certificados y evitar su uso.
Solución
Está disponible una actualización para todas las versiones de Microsoft Windows para ayudar a resolver este problema.
Por lo general, dicha actualización no requiere ninguna acción por parte de los usuarios ya que la mayoría tienen habilitada la actualización automática y por tanto dicha actualización se descargará e instalará automáticamente. Sin embargo aquellos que no dispongan de esta configuración tendrán que instalar manualmente cada uno de los paquetes.
