Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Microsoft emite certificado SSL a la entidad equivocada
Microsoft se apresuró a revocar un certificado SSL emitido de manera incorrecta para dominio live.fi, de acuerdo a un comunicado de la compañía, aún no han detectado evidencia de la explotación de esta falla.
"Microsoft está al tanto de este certificado SSL emitido de manera incorrecta para el dominio live.fi que podría ser usado en intentos de suplantación de contenido, ataques de phishing o de hombre en medio (MitM)."
Microsoft desplegó un comunicado donde se afirma que la empresa ya ha tomado medidas defensivas para proteger a sus usuarios:
"La CA (Autoridad Certificadora, por sus siglas en ingles) que emitió el certificado ya lo ha revocado para ayudar a proteger a nuestros clientes de un potencial mal uso del certificado y Microsoft está actualizando la lisita de certificados de confianza (CTL) para todas las versiones de de Microsoft Windows con soporte para remover la confianza del certificado que está causando el problema."
De acuerdo al sitio Finlandés Tivi.fi, el certificado fue emitido por la autoridad certificadora Comodo, quien envío el certificado a un trabajador de TI el cual descubrió que podía usar la cuenta hostmaster@live.fi como alias de su cuenta personal. De acuerdo a una nota del sitio Arstechnica, la persona que recibió el certificado notificó a Microsoft en enero, sin embargo fue hasta este martes que la empresa estadounidense tomo acciones correctivas.
Expertos en seguridad han expresado su preocupación sobre un posible abuso en el uso del certificado a pesar de las afirmaciones de Microsoft que declaran lo contrario.
Gavin Millard, director de Tenable Network Security, comentó al portal V3 que el certificado podría ser utilizado para diversos fines maliciosos:
"El certificado permitiría a un atacante crear versiones falsas de sitio web afectado, engañar a los usuarios haciéndolos creer que se están comunicando con el sitio real permitiendo que el atacante pueda recolectar contraseñas o descifrar comunicaciones."
Este incidente vuelve a poner en la mesa los diferentes cuestionamientos sobre este esquema de seguridad y las diversas fallas que especialistas han detectado en los últimos años.
Sean Sullivan, consultor de F-Secure, considera que este asunto es una muestra más del inadecuado proceso de certificados que es utilizado hoy día:
"Este es otro ejemplo de cómo el proceso de certificados de confianza a través de autoridades certificadoras está lleno de fallas y no hay buenas soluciones a la vista, la gente necesita tener cuidado de que se repitan casos como este."
