Esta semana Microsoft ha publicado varios avisos para ayudar a sus usuarios con una actualización derivada de una falla en el cifrado. Microsoft está iniciando el proceso para dar fin al soporte de certificados digitales que usan el algoritmo de hash, también conocido como algoritmo de digestión MD5, con el fin de mejorar la autenticación a nivel de red para el protocolo de escritorio remoto (RDP, por sus siglas en inglés).

Actualizaciones opcionales de Microsoft:

·  Microsoft Security Advisory 2661254: Las llaves privadas que se usan en estos certificados pueden deducirse, lo que podría permitir a un atacante duplicar los certificados y suplantar el contenido, realizando ataques de phishing o de hombre en medio (MiTM).

·   Microsoft Security Advisory 2862973: Microsoft ha anunciado la disponibilidad de una actualización para soportar ediciones de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 y Windows RT que restringe el uso de certificados con hashes MD5. Esta restricción se limita a certificados expedidos bajo raíz en el programa de certificados raíz.

Por ahora, estas actualizaciones están disponibles solo para realizar pruebas y, en febrero del siguiente año, serán automáticamente liberadas. "Para el 11 de febrero de 2014, estamos planeando liberar completamente esta actualización a través de Windows Update, después de que los clientes hayan tenido oportunidad para evaluar su impacto y hayan tomado las acciones necesarias en su empresa."

En junio se liberó una actualización que restringía la longitud mínima de las llaves RSA a 1024 y esta semana se anunció que la nueva actualización restringe el uso del certificado digital MD5. Ambas son parte del programa Microsoft Root.

"Estas actualizaciones están destinadas a mejorar la privacidad y seguridad del cliente. Cifrados fuertes mejoran la función de las características firmadas, lo que permite a los usuarios validar el origen y confiar en el contenido. Además, aumenta la funcionalidad de los algoritmos criptográficos, incrementando el esfuerzo de los atacantes para enviar contenido suplantado, ataques de hombre en medio y phishing."

La función criptográfica de hash MD5 ha sido considerada insegura en el uso de certificados SSL y firmas digitales. "Microsoft parece ir atrasado con respecto a las técnicas de cifrado, es algo bueno para Microsoft iniciar con la eliminación de éstos para tener un panorama completo, especialmente MD5," dijo Lamar Bailey, director de Tripware.

En 2008, un equipo de investigación de seguridad demostró un ataque práctico que involucraba una debilidad conocida en MD5 para generar un certificado CA falso, en el cual, todos los exploradores confiaban. "El uso del algoritmo de hash MD5 en certificados podría permitir a un atacante suplantar contenido, ejecutar ataques de phishing o de hombre en medio," dijo Microsoft.

Microsoft recomienda a sus clientes descargar la prueba y aplicar la actualización lo más pronto posible.