CERTA-2001-AVI-036
Vulnerability from certfr_avis - Published: - Updated:
Suite à la délivrance par VeriSign de deux certificats au nom de Microsoft Corporation à un faux employé Microsoft, un utilisateur pourrait installer un programme ou exécuter un active X d'origine inconnue mais portant cependant la signature Microsoft.
Description
Les 29 et 30 janvier 2001, VeriSign a validé deux certificats à une personne se faisant passer pour un employé Microsoft. Le nom assigné à ces deux certificats est « Microsoft Corporation ».
Ces certificats peuvent être employés pour signer des programmes exécutables, des contrôles active X ou des macros. Ces programmes signés par les faux certificats peuvent être transmis par mél, téléchargés sur des pages HTML ou mis sur n'importe quel support (CD, disquette, etc...).
Ces faux certificats sont inscris dans la liste de révocation de VeriSign (CRL). Cependant, aucun point de distribution de cette liste n'étant accessible pour les certificats, il est impossible de consulter automatiquement, lors de l'installation, ces révocations.
Cet incident démontre à nouveau que la sécurité du certificat ne repose pas uniquement sur la solidité des algorithmes. La procédure appliquée par l'autorité de certification est essentielle. (Dans le cas présent VeriSign n'a pas correctement contrôlé l'identité du demandeur à priori.)
Contournement provisoire
Avant la mise en place d'un programme ou l'exécution d'un contrôle Active X, vérifier les dates de délivrance des certificats dans la fenêtre d'avertissement. Officiellement aucun certificat n'a été délivré pour Micorsoft en date du 29 ou 30 janvier 2001.
Un correctif Microsoft prenant en compte la vérification de ces faux certificats devrait être prochainement disponible.
None| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Windows 98 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows Me ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows NT 4 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 95 ;",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Windows 2000.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nLes 29 et 30 janvier 2001, VeriSign a valid\u00e9 deux certificats \u00e0 une\npersonne se faisant passer pour un employ\u00e9 Microsoft. Le nom assign\u00e9 \u00e0\nces deux certificats est \u00ab Microsoft Corporation \u00bb.\n\nCes certificats peuvent \u00eatre employ\u00e9s pour signer des programmes\nex\u00e9cutables, des contr\u00f4les active X ou des macros. Ces programmes sign\u00e9s\npar les faux certificats peuvent \u00eatre transmis par m\u00e9l, t\u00e9l\u00e9charg\u00e9s sur\ndes pages HTML ou mis sur n\u0027importe quel support (CD, disquette,\netc...).\n\nCes faux certificats sont inscris dans la liste de r\u00e9vocation de\nVeriSign (CRL). Cependant, aucun point de distribution de cette liste\nn\u0027\u00e9tant accessible pour les certificats, il est impossible de consulter\nautomatiquement, lors de l\u0027installation, ces r\u00e9vocations.\n\nCet incident d\u00e9montre \u00e0 nouveau que la s\u00e9curit\u00e9 du certificat ne repose\npas uniquement sur la solidit\u00e9 des algorithmes. La proc\u00e9dure appliqu\u00e9e\npar l\u0027autorit\u00e9 de certification est essentielle. (Dans le cas pr\u00e9sent\nVeriSign n\u0027a pas correctement contr\u00f4l\u00e9 l\u0027identit\u00e9 du demandeur \u00e0\npriori.)\n\n## Contournement provisoire\n\nAvant la mise en place d\u0027un programme ou l\u0027ex\u00e9cution d\u0027un contr\u00f4le\nActive X, v\u00e9rifier les dates de d\u00e9livrance des certificats dans la\nfen\u00eatre d\u0027avertissement. Officiellement aucun certificat n\u0027a \u00e9t\u00e9 d\u00e9livr\u00e9\npour Micorsoft en date du 29 ou 30 janvier 2001.\n\nUn correctif Microsoft prenant en compte la v\u00e9rification de ces faux\ncertificats devrait \u00eatre prochainement disponible.\n",
"cves": [],
"links": [
{
"title": "Bulletin Microsoft :",
"url": "http://www.microsoft.com/technet/security/bulletin/MS01-017.asp"
}
],
"reference": "CERTA-2001-AVI-036",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-03-23T00:00:00.000000"
}
],
"risks": [
{
"description": "Usurpation d\u0027identit\u00e9"
},
{
"description": "Coutournement des r\u00e8gles de s\u00e9curit\u00e9"
}
],
"summary": "Suite \u00e0 la d\u00e9livrance par VeriSign de deux certificats au nom de\nMicrosoft Corporation \u00e0 un faux employ\u00e9 Microsoft, un utilisateur\npourrait installer un programme ou ex\u00e9cuter un active X d\u0027origine\ninconnue mais portant cependant la signature Microsoft.\n",
"title": "Certificats erron\u00e9s d\u00e9livr\u00e9s par VeriSign",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin Microsoft (MS01-017)",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.