Generan un certificado SSL falso utilizando Windows Live

Escrito por Adrián Crespo
Seguridad
0

Teniendo en cuenta la cantidad de servicios web que utilizan certificados SSL para proteger los datos de los usuarios los ciberdelincuentes ven con buenos ojos la creación de estos para conseguir de esta forma el robo de datos de los usuarios. Un fallo de seguridad en una cuenta de correo corporativa de Microsoft ha propiciado la creación de un certificado falso utilizando el dominio Windows Live, algo de lo que los de Redmond ya están al tanto.

En esta ocasión los ciberdelincuentes se han ayudado del Certificate Authority (CA) Comodo para crear el certificado, algo que ya ha sido corregido desde la compañía y bloqueado. Sin embargo, este aún se encuentra en circulación y podría utilizarse para firmar sitios web falsos y así conseguir que los usuarios ofrezcan información privada y que esta sea robada sin que el usuario se percate, ya que a priori nos encontramos en un sitio “seguro”.

Ahora toca trabajar a los responsables de los principales navegadores para que estos etiqueten a este como certificado no seguro, evitando que los usuarios accedan al sitio web y el correspondiente robo de información.

Hablando del origen del problema, todo parece indicar que una cuenta corporativa de uno de los empleados de Microsoft ayudó a crear este. Se desconocen los motivos que provocaron el robo de las credenciales de acceso, aunque son muchas voces las que apuntan a una posible infección malware en el equipo.

Google Chrome e Internet Explorer ya alertan de la presencia de este certificado

La reacción de los responsables de los navegadores ha sido casi instantánea y dos de ellos ya tratan a este certificado como no seguro. Google Chrome e Internet Explorer son los primeros en descartar la supuesta “seguridad” que ofrece este, ayudado por la utilización de CTL, un listado de Microsoft en el que se encuentran todos aquellos certificados sospechosos o que son falsos.

En el caso de Firefox la espera será mayor, ya que este utiliza un listado propio de Mozilla que se debe actualizar, aunque se espera que para finales de esta misma semana también detecte de forma correcta el certificado falso de Windows Live.

Fuente | Softpedia